БДУ - Print

BDU:2023-02779: Уязвимость программного комплекса промышленной автоматизации Codesys встроенного в программируемые логические контроллеры Schneider Electric, позволяющая нарушителю оказать воздействие на целостность данных

Описание уязвимости	Уязвимость программного комплекса промышленной автоматизации Codesys встроенного в программируемые логические контроллеры Schneider Electric, связана с раскрытием информации в ошибочной области данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных
Вендор	Schneider Electric
Наименование ПО	Modicon M241, Modicon M251, Modicon M258, Modicon LMC058, PacDrive 3 Controllers LMC Eco, PacDrive 3 Controllers Pro, PacDrive 3 Controllers Pro2, PacDrive Controller LMC078, Modicon M262, HMISCU
Версия ПО	- (Modicon M241), - (Modicon M251), - (Modicon M258), - (Modicon LMC058), - (PacDrive 3 Controllers LMC Eco), - (PacDrive 3 Controllers Pro), - (PacDrive 3 Controllers Pro2), - (PacDrive Controller LMC078), - (Modicon M262), - (HMISCU)
Тип ПО	Программное средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Неправильное подтверждение значения проверки целостности
Идентификатор типа ошибки	CWE-354
Класс уязвимости	Уязвимость архитектуры
Дата выявления	11.04.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:S/C:N/I:C/A:N CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,7)
Возможные меры по устранению уязвимости	Компенсирующие меры: - ограничение доступа к в портам UDP/1740, TCP/11740 и TCP/1105; - включение настройки "Implicit Checks"; - ограничение использования тип данных POINTER; - ограничение использования инструкции MEMMOVE; - использование средств межсетевого экранирования для ограничения доступа к устройству; - использование виртуальных частных сетей для организации удаленного доступа (VPN); - использование зашифрованных каналов связи; Использование рекомендаций: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-01.pdf
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Несанкционированный сбор информации
Способ устранения	Данные уточняются
Информация об устранении	Информация об устранении отсутствует
Ссылки на источники	https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-01.pdf
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-28355
Прочая информация	Данные уточняются