BDU:2023-07886: Уязвимость программного обеспечения для проектирования, эксплуатации и обслуживания технологических установок COMOS, связанная с недостатками контроля доступа, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность данных

Описание уязвимости

Уязвимость программного обеспечения для проектирования, эксплуатации и обслуживания технологических установок COMOS связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность и целостность данных

Вендор

Siemens AG

Наименование ПО

COMOS

Версия ПО

  • -

Тип ПО

Средство АСУ ТП, Программное средство АСУ ТП

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Неправильный контроль доступа

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

14.11.2023

Базовый вектор уязвимости

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование приложения-сервера для создания дополнительного уровня контроля доступа к COMOS;
- мониторинг действий пользователей;
- минимизация пользовательских привилегий;
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников, перед их импортированием в COSMOS;
- использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников.

Использование рекомендаций производителя:
https://cert-portal.siemens.com/productcert/html/ssa-137900.html
https://support.industry.siemens.com/cs/document/109823629/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Нарушение авторизации

Способ устранения

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения