БДУ - Уязвимости

BDU:2023-00551: Уязвимость микропрограммного обеспечения маршрутизаторов InHand Networks InRouter 302 и InRouter 615, связанная с недостатками разграничения доступа, позволяющая нарушителю выполнить произвольные команды

Описание уязвимости	Уязвимость микропрограммного обеспечения маршрутизаторов InHand Networks InRouter 302 и InRouter 615 связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды
Вендор	InHand Networks
Наименование ПО	InRouter302, InRouter615
Версия ПО	до 3.5.56 (InRouter302) до 2.3.0.r5542 (InRouter615)
Тип ПО	ПО сетевого программно-аппаратного средства, Сетевое средство
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Неправильный контроль доступа
Идентификатор типа ошибки	CWE-284
Класс уязвимости	Уязвимость архитектуры
Дата выявления	12.01.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,7) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для InRouter 302: https://www.inhandnetworks.com/products/inrouter300.html#link4 Для InRouter 615: https://www.inhandnetworks.com/products/inrouter615-s.html#link4 Компенсирующие меры: - ограничение возможности подключения к промышленному оборудованию из сетей общего пользования (Интернет); - сегментирование сети с целью ограничения доступа к промышленному сегменту из других подсетей; - использование антивирусных программных средств для предотвращения возможности загрузки ненадежных файлов; - использование виртуальных частных сетей для организации удаленного доступа (VPN); - применение средств межсетевого экранирования для ограничения возможности удаленного доступа.
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2023-22600 https://www.cisa.gov/uscert/ics/advisories/icsa-23-012-03 https://www.inhandnetworks.com/products/inrouter300.html#link4 https://www.inhandnetworks.com/products/inrouter615-s.html#link4
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-22600 ICSA: ICSA-23-012-03
Прочая информация	Данные уточняются

Последние изменения

20.03.2023 Уязвимость службы Bluetooth операционных систем Windows, позволяющая нарушителю выполнить произвольный код
20.03.2023 Уязвимость средства управления доступом к сети Fortinet FortiNAC, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществлять межсайтовые сценарные атаки
20.03.2023 Уязвимость технологии виртуализации Virtual Domains (VDOM) операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, позволяющая нарушителю повысить свои привилегии
20.03.2023 Уязвимость средства отслеживания и анализа событий безопасности FortiAnalyzer, связанная с отсутствием нейтрализации элементов для файлов CSV, позволяющая нарушителю выполнить произвольный код
20.03.2023 Уязвимость микропрограммного обеспечения устройства системы видеонаблюдения FortiRecorder, позволяющая нарушителю вызвать отказ в обслуживании
20.03.2023 Уязвимость интерпретатора командной строки межсетевого экрана веб-приложений FortiWeb и устройства системы видеонаблюдения FortiRecorder, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
20.03.2023 Уязвимость системы идентификации FortiAuthenticator, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю вызвать отказ в обслуживании
20.03.2023 Уязвимость средства выявления и принятия мер реагирования на внешние и внутренние угрозы безопасности Fortinet FortiDeceptor, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю вызвать отказ в обслуживании
20.03.2023 Уязвимость ядра операционных систем Windows, позволяющая нарушителю повысить свои привилегии
20.03.2023 Уязвимость программного средства для планирования ресурсов Microsoft Dynamics 365, связанная с недостаточной защитой структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарнын атаки

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»