BDU:2023-07886: Уязвимость программного обеспечения для проектирования, эксплуатации и обслуживания технологических установок COMOS, связанная с недостатками контроля доступа, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность данных

Описание уязвимости Уязвимость программного обеспечения для проектирования, эксплуатации и обслуживания технологических установок COMOS связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность и целостность данных
Вендор Siemens AG
Наименование ПО COMOS
Версия ПО -
Тип ПО Средство АСУ ТП, Программное средство АСУ ТП
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Неправильный контроль доступа
Идентификатор типа ошибки CWE-284
Класс уязвимости Уязвимость кода
Дата выявления 14.11.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:N
  • CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- использование приложения-сервера для создания дополнительного уровня контроля доступа к COMOS;
- мониторинг действий пользователей;
- минимизация пользовательских привилегий;
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников, перед их импортированием в COSMOS;
- использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников.

Использование рекомендаций производителя:
https://cert-portal.siemens.com/productcert/html/ssa-137900.html
https://support.industry.siemens.com/cs/document/109823629/
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Нарушение авторизации
Способ устранения Данные уточняются
Информация об устранении Информация об устранении отсутствует
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются