BDU:2022-05011: Уязвимость программного средства программирования ПЛК EcoStruxure Control Expert, системы автоматизации Process Expert, программного средства конфигурирования SCADAPack RemoteConnect, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к устройству

Описание уязвимости Уязвимость программного средства программирования ПЛК EcoStruxure Control Expert, системы автоматизации Process Expert, программного средства конфигурирования SCADAPack RemoteConnect связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к устройству
Вендор Schneider Electric
Наименование ПО EcoStruxure Hybrid Distributed Control System, EcoStruxure Control Expert, EcoStruxur Process Expert, SCADAPack RemoteConnect
Версия ПО - (EcoStruxure Hybrid Distributed Control System), до 15.0 SP1 (EcoStruxure Control Expert), до V2021 (EcoStruxur Process Expert), - (SCADAPack RemoteConnect)
Тип ПО Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Недостаточная защита регистрационных данных
Идентификатор типа ошибки CWE-522
Класс уязвимости Уязвимость кода
Дата выявления 13.07.2021
Базовый вектор уязвимости
  • CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:N
  • CVSS 3.0: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)
Возможные меры по устранению уязвимости
Использование рекомендаций производителя:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-01
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Злоупотребление функционалом
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются