Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-03572: Уязвимость плагина Engine.plugin комплекс прикладного программирования ПЛК CODESYS GmbH CODESYS Development System, позволяющая нарушителю выполнить произвольную команду

Описание уязвимости	Уязвимость плагина Engine.plugin комплекс прикладного программирования ПЛК CODESYS GmbH CODESYS Development System связана с десериализацией ненадежных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольную команду
Вендор	Schneider Electric, CODESYS GmbH
Наименование ПО	EcoStruxure Machine Expert, CODESYS Development System V3, CODESYS SVN, Eurotherm E+PLC
Версия ПО	до 2.0.3 (EcoStruxure Machine Expert) до 3.5.17.10 (CODESYS Development System V3) до 4.4.0.0 (CODESYS SVN) до 1.3.0.1 включительно (Eurotherm E+PLC)
Тип ПО	ПО программно-аппаратного средства АСУ ТП, Программное средство АСУ ТП, Средство АСУ ТП
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Восстановление в памяти недостоверных данных
Идентификатор типа ошибки	CWE-502
Класс уязвимости	Уязвимость кода
Дата выявления	11.01.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Компенсирующие меры: - использование устройств в защищенной среде; - использование средств межсетевого экранирования для ограничения доступа к устройству; - использование виртуальных частных сетей для организации удаленного доступа (VPN); - минимизация пользовательских привилегий; - использование антивирусного программного обеспечения; - ограничение доступа к системе разработки и к системе управления Использование рекомендаций: Для продуктов Schneider Electric: https://www.se.com/ae/en/download/document/SEVD-2022-011-06/ Для продуктов CODESYS: https://customers.codesys.com/index.php?eID=dumpFile&t=f&f=16805&token=ee583c498941d9fda86490bca98ff21928eec08a&download=
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.se.com/ae/en/download/document/SEVD-2022-011-06/ https://customers.codesys.com/index.php?eID=dumpFile&t=f&f=16805&token=ee583c498941d9fda86490bca98ff21928eec08a&download= https://www.cve.org/CVERecord?id=CVE-2021-21869 https://talosintelligence.com/vulnerability_reports/TALOS-2021-1306
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-21869
Прочая информация	Данные уточняются

Последние изменения