Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-02779: Уязвимость программного комплекса промышленной автоматизации Codesys встроенного в программируемые логические контроллеры Schneider Electric, позволяющая нарушителю оказать воздействие на целостность данных

Описание уязвимости	Уязвимость программного комплекса промышленной автоматизации Codesys встроенного в программируемые логические контроллеры Schneider Electric, связана с раскрытием информации в ошибочной области данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных
Вендор	Schneider Electric
Наименование ПО	Modicon M241, Modicon M251, Modicon M258, Modicon LMC058, PacDrive 3 Controllers LMC Eco, PacDrive 3 Controllers Pro, PacDrive 3 Controllers Pro2, PacDrive Controller LMC078, Modicon M262, HMISCU
Версия ПО	- (Modicon M241) - (Modicon M251) - (Modicon M258) - (Modicon LMC058) - (PacDrive 3 Controllers LMC Eco) - (PacDrive 3 Controllers Pro) - (PacDrive 3 Controllers Pro2) - (PacDrive Controller LMC078) - (Modicon M262) - (HMISCU)
Тип ПО	Программное средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Неправильное подтверждение значения проверки целостности
Идентификатор типа ошибки	CWE-354
Класс уязвимости	Уязвимость архитектуры
Дата выявления	11.04.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:S/C:N/I:C/A:N CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,7)
Возможные меры по устранению уязвимости	Компенсирующие меры: - ограничение доступа к в портам UDP/1740, TCP/11740 и TCP/1105; - включение настройки "Implicit Checks"; - ограничение использования тип данных POINTER; - ограничение использования инструкции MEMMOVE; - использование средств межсетевого экранирования для ограничения доступа к устройству; - использование виртуальных частных сетей для организации удаленного доступа (VPN); - использование зашифрованных каналов связи; Использование рекомендаций: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-01.pdf
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Несанкционированный сбор информации
Способ устранения	Данные уточняются
Информация об устранении	Информация об устранении отсутствует
Ссылки на источники	https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-01.pdf
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-28355
Прочая информация	Данные уточняются

Последние изменения