In sintesi
CISA ha emesso un avviso riguardante una significativa vulnerabilità nel sistema operativo B&R PPT30 Operating System. Questa vulnerabilità, identificata come CVE-2025-11482, colpisce specificatamente le versioni del sistema operativo inferiori alla 1.8.0 e la versione 1.8.0 stessa. È stata classificata con un punteggio CVSS v3 di 7.5, indicando un’elevata gravità, e l’azienda produttrice, B&R Industrial Automation GmbH, ha dichiarato di essere a conoscenza di questa problematica.
La vulnerabilità è catalogata come “Allocation of Resources Without Limits or Throttling”, il che implica che un attaccante, sfruttandola con successo, potrebbe rendere inaccessibile il server OPC-UA del prodotto, causando un attacco di tipo Denial of Service (DoS). Il B&R PPT30 Operating System è ampiamente utilizzato a livello mondiale in settori critici dell’infrastruttura, come le Strutture Commerciali, la Manifattura Critica, l’Energia, i Sistemi di Trasporto e l’Acqua e le Acque reflue. La sede centrale di B&R Industrial Automation GmbH si trova in Svizzera.
Per le organizzazioni che gestiscono dati e infrastrutture, questa vulnerabilità è di primaria importanza. Sebbene il testo fornito non faccia esplicito riferimento a violazioni di dati personali, l’indisponibilità dei sistemi operativi e dei server OPC-UA può avere ripercussioni dirette sulla continuità operativa e sulla disponibilità dei servizi essenziali, con un impatto indiretto sulla gestione e l’integrità dei dati. Le implicazioni per la compliance sono notevoli, specialmente per le entità che rientrano nel campo di applicazione di normative come la NIS2. Quest’ultima, pur non essendo menzionata direttamente nel testo, impone requisiti stringenti di sicurezza della rete e dei sistemi informativi per i settori di infrastrutture critiche qui elencati. L’incapacità di garantire la disponibilità dei sistemi potrebbe ostacolare la capacità di elaborare dati, rispondere a incidenti o mantenere i livelli di servizio concordati, esponendo le organizzazioni a rischi operativi e sanzioni normative.
Alla luce di quanto esposto, è urgentemente consigliabile che le organizzazioni che impiegano il B&R PPT30 Operating System nelle versioni vulnerabili identifichino immediatamente la loro esposizione e valutino il potenziale impatto. È fondamentale monitorare attentamente i canali di comunicazione ufficiali di B&R Industrial Automation GmbH per la pubblicazione di eventuali patch, aggiornamenti o indicazioni di mitigazione. Considerata la natura della vulnerabilità e il rischio di interruzione dei servizi critici, si raccomanda di elaborare piani di contingenza e di valutare l’implementazione di misure temporanee per salvaguardare la disponibilità del server OPC-UA, garantendo una rigorosa gestione delle patch e delle vulnerabilità nell’intero ambiente dei sistemi di controllo industriale (ICS/OT).