BDU:2023-02365: Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Exper, позволяющая нарушителю выполнить произвольный код

Описание уязвимости

Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Exper связана с недостатками разграничений контролируемой области системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Schneider Electric

Наименование ПО

EcoStruxure Control Expert

Версия ПО

  • от 15.1 включительно

Тип ПО

ПО программно-аппаратного средства АСУ ТП

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Раскрытие ресурса для ошибочной области

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

11.04.2023

Базовый вектор уязвимости

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использовать программное обеспечение McAfee Application and Change Control;
- располагать сети систем управления и безопасности за межсетевыми экранами;
- установить физические средства контроля;
- поместить все контроллеры в запертые шкафы и никогда не оставлять их в режиме "Программирование";
- использовать только проверенные сети
- сканировать все способы мобильного обмена данными с изолированной сетью
- минимизировать сетевое воздействие для всех устройств
- использование виртуальных частных сетей для организации удаленного доступа (VPN)


Использование рекомендаций:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-03.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Несанкционированный сбор информации

Способ устранения

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения