Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-01585: Уязвимость микропрограммного обеспечения сервера Siemens TIA Project-Server, позволяющая нарушителю повысить свои привилегии

Описание уязвимости	Уязвимость микропрограммного обеспечения сервера Siemens TIA Project-Serve связана с использованием ненадёжного пути поиска. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии
Вендор	Siemens AG
Наименование ПО	TIA Multiuser Server, TIA Project-Server
Версия ПО	14 (TIA Multiuser Server) 15 (TIA Multiuser Server) 16 (TIA Project-Server) 17 (TIA Project-Server) 1.0 (TIA Project-Server)
Тип ПО	Средство АСУ ТП, Программное средство АСУ ТП
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Ненадежный путь поиска
Идентификатор типа ошибки	CWE-426
Класс уязвимости	Уязвимость архитектуры
Дата выявления	14.02.2023
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:H/Au:S/C:C/I:C/A:C CVSS 3.0: AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,7)
Возможные меры по устранению уязвимости	Компенсирующие меры: - ограничение подключения к программному продукту из сетей общего пользования (Интернет); - сегментирование сети с целью ограничения доступа к промышленному сегменту из других подсетей; - применение средств межсетевого экранирования уровня веб-приложений. Использование рекомендаций: https://cert-portal.siemens.com/productcert/pdf/ssa-640968.pdf
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://cert-portal.siemens.com/productcert/pdf/ssa-640968.pdf https://vuldb.com/ru/?id.220870 https://www.cisa.gov/news-events/ics-advisories/icsa-23-047-07
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-35868 SSA: SSA-640968 ICSA: ICSA-23-047-07
Прочая информация	Данные уточняются

Последние изменения