Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-00881: Уязвимость веб-интерфейса управления программируемых логических контроллеров WAGO PFC100/PFC200, CC100, Edge Controller и сенсорных панелей WAGO Touch Panel 600, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость веб-интерфейса управления программируемых логических контроллеров WAGO PFC100/PFC200, CC100, Edge Controller и сенсорных панелей WAGO Touch Panel 600 связана с отсутствием аутентификации для критически важной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор	WAGO Kontakttechnik GmbH & Co. KG
Наименование ПО	WAGO Compact Controller CC100, WAGO Edge Controller, WAGO PFC100/PFC200, WAGO Touch Panel 600
Версия ПО	до FW23 включительно (WAGO Compact Controller CC100) до FW23 включительно (WAGO Edge Controller) до FW23 включительно (WAGO PFC100/PFC200) до FW23 включительно (WAGO Touch Panel 600)
Тип ПО	Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП, ПО программно-аппаратного средства
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Отсутствие аутентификации для критичной функции
Идентификатор типа ошибки	CWE-306
Класс уязвимости	Уязвимость кода
Дата выявления	27.02.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование средств межсетевого экранирования уровня веб-приложений; - отключение механизма веб-управления; - сегментирование сети для ограничения возможности доступа к промышленному сегменту из других подсетей; - использование сторонних средств контроля доступа пользователей (VPN и др.) к программному продукту из общедоступных сетей (Интернет). Использование рекомендаций: https://cert.vde.com/en/advisories/VDE-2022-060/
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение аутентификации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2022-45138 https://cert.vde.com/en/advisories/VDE-2022-060/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-45138 VDE: VDE-2022-060
Прочая информация	Данные уточняются

Последние изменения