БДУ - Уязвимости

BDU:2023-05089: Уязвимость программной платформы для управления безопасностью в промышленных сетях MXSecurity, связанная с использованием жестко закодированных учетных данных, позволяющая нарушителю реализовать атаку типа «человек посередине»

Описание уязвимости	Уязвимость программной платформы для управления безопасностью в промышленных сетях MXSecurity связана с использованием жестко закодированного криптографического ключа хоста. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку типа «человек посередине»
Вендор	Moxa Inc.
Наименование ПО	MXsecurity
Версия ПО	до 1.0.1 включительно
Тип ПО	Программное средство защиты, ПО программно-аппаратных средств защиты, Программное средство АСУ ТП
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Жесткое кодирование регистрационных данных
Идентификатор типа ошибки	CWE-798
Класс уязвимости	Уязвимость архитектуры
Дата выявления	08.08.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: https://www.moxa.com/en/support/product-support/security-advisory/mpsa-230403-mxsecurity-series-multiple-vulnerabilities Компенсирующие меры: - использование средств межсетевого экранирования для ограничения возможности удалённого доступа; - ограничение доступа к устройству из внешних сетей (Интернет); - использование виртуальных частных сетей для организации удаленного доступа (VPN).
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение аутентификации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.moxa.com/en/support/product-support/security-advisory/mpsa-230403-mxsecurity-series-multiple-vulnerabilities https://vuldb.com/ru/?id.238621
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-39982
Прочая информация	Данные уточняются

Последние изменения

01.12.2023 Уязвимость функции show_zysync_server_contents микропрограммного обеспечения сетевых хранилищ Zyxel NAS326, NAS542, позволяющая нарушителю выполнить произвольный код
01.12.2023 Уязвимость интерфейса iControl SOAP средств контроля доступа и удаленной аутентификации BIG-IP, позволяющая нарушителю выполнить произвольный код
01.12.2023 Уязвимость сервера приложений Eclipse Glassfish, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю загружать вредоносный код на сервер
01.12.2023 Уязвимость веб-шлюза McAfee Web Gateway, связанная с ошибками в коде, позволяющая нарушителю вызвать отказ в обслуживании
01.12.2023 Уязвимость микропрограммного обеспечения твердотельных накопителей Intel(R) Optane(TM), связанная с недостаточной проверкой входных данных, позволяющая нарушителю повысить свои привилегии
01.12.2023 Уязвимость микропрограммного обеспечения твердотельных накопителей Intel(R) Optane(TM), связанная с некорректной инициализацией ресурса, позволяющая нарушителю вызвать отказ в обслуживании
01.12.2023 Уязвимость микропрограммного обеспечения твердотельных накопителей Intel(R) Optane(TM), связанная с недостатками контроля доступа, позволяющая нарушителю раскрыть защищаемую информацию
01.12.2023 Уязвимость микропрограммного обеспечения твердотельных накопителей Intel(R) Optane(TM), связанная с отсутствием защиты служебных данных, позволяющая нарушителю раскрыть защищаемую информацию
01.12.2023 Уязвимость интерфейса командной строки (CLI) микропрограммного обеспечения сетевых устройств ZyXEL VPN, USG FLEX и ATP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
01.12.2023 Уязвимость интерфейса командной строки (CLI) микропрограммного обеспечения сетевых устройств ZyXEL VPN, USG FLEX и ATP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»