Armis, società di cyber security con sede in California (Stati Uniti), ha segnalato la scoperta di 10 vulnerabilità nei controllori Copeland E2 ed E3, ampiamente utilizzati nel settore della climatizzazione e della refrigerazione per la gestione di gruppi compressori, condensatori, celle frigorifere, sistemi HVAC e impianti di illuminazione. Le vulnerabilità, battezzate collettivamente Frostbyte10, potrebbero consentire a soggetti non autorizzati di modificare da remoto i parametri di funzionamento, disabilitare i sistemi, eseguire codice malevolo o ottenere accesso non autorizzato a dati operativi sensibili.
Secondo Armis, se sfruttate in combinazione, queste falle potrebbero portare a una remote code execution non autenticata con privilegi root. Le conseguenze potenziali non sono banali: dai rischi per la catena del freddo e la conseguente deperibilità degli alimenti, fino all’interruzione di sistemi di refrigerazione e condizionamento critici. La società di cyber security avverte inoltre che queste vulnerabilità potrebbero esporre retailer e operatori logistici a tentativi di attacco o riscatto informatico. Non vi sono però prove che le falle siano state finora sfruttate in attacchi reali.
Per ridurre i rischi, Armis raccomanda di aggiornare immediatamente i sistemi alla versione firmware più recente, Copeland 2.31F01, che mitiga tutte le vulnerabilità individuate: “A causa della gravità di queste falle e del loro potenziale impatto, invitiamo le organizzazioni che utilizzano questi controllori a verificare la propria esposizione e ad adottare immediatamente le azioni di mitigazione necessarie”.
Il controllore Copeland E2 è da tempo considerato uno standard di riferimento nella gestione degli impianti HVAC&R. Introdotto nel 2021 come sua evoluzione, il Copeland E3 offre maggiori prestazioni, memoria potenziata, accesso remoto via browser o dispositivi mobili e un display touchscreen da 10 pollici, caratteristiche che lo hanno reso sempre più apprezzato da OEM, installatori e tecnici di manutenzione.
Al momento, Copeland non ha rilasciato commenti ufficiali in merito alla segnalazione.
