БДУ - Print

BDU:2023-02365: Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Exper, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Exper связана с недостатками разграничений контролируемой области системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор	Schneider Electric
Наименование ПО	EcoStruxure Control Expert
Версия ПО	от 15.1 включительно
Тип ПО	ПО программно-аппаратного средства АСУ ТП
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Раскрытие ресурса для ошибочной области
Идентификатор типа ошибки	CWE-668
Класс уязвимости	Уязвимость кода
Дата выявления	11.04.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Компенсирующие меры: - использовать программное обеспечение McAfee Application and Change Control; - располагать сети систем управления и безопасности за межсетевыми экранами; - установить физические средства контроля; - поместить все контроллеры в запертые шкафы и никогда не оставлять их в режиме "Программирование"; - использовать только проверенные сети - сканировать все способы мобильного обмена данными с изолированной сетью - минимизировать сетевое воздействие для всех устройств - использование виртуальных частных сетей для организации удаленного доступа (VPN) Использование рекомендаций: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-03.pdf
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Несанкционированный сбор информации
Способ устранения	Данные уточняются
Информация об устранении	Информация об устранении отсутствует
Ссылки на источники	https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-03.pdf https://vuldb.com/ru/?id.226812
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-27976
Прочая информация	Данные уточняются