СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
02.05.2022

Уязвимость BDU:2022-02733

Уязвимость BDU:2022-02733

Идентификатор: BDU:2022-02733.

Наименование уязвимости: Уязвимость программных продуктов для контроля, управления и моделирования в станках с ЧПУ TRUMPF TruTops Boost, TruTops Fab и TruTops Monitor, связанная с отсутствием процедуры аутентификации для критической функции, позволяющая нарушителю выполнять команды с повышенными привилегиями.

Описание уязвимости: Уязвимость программных продуктов для контроля, управления и моделирования в станках с ЧПУ TRUMPF TruTops Boost, TruTops Fab и TruTops Monitor связана с отсутствием процедуры аутентификации для критической функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять команды с повышенными привилегиями
Уязвимое ПО: Средство АСУ ТП, Программное средство АСУ ТП TRUMPF TruTops Boost от 13.01 до 13.05 включительно | Средство АСУ ТП, Программное средство АСУ ТП TRUMPF TruTops Boost 13.08.21 | Средство АСУ ТП, Программное средство АСУ ТП TRUMPF TruTops Fab от 22.01 до 22.05 включительно | Средство АСУ ТП, Программное средство АСУ ТП TRUMPF TruTops Fab 22.08.21 | Средство АСУ ТП, Программное средство АСУ ТП TRUMPF TruTops Monitor от 22.01 до 22.05 включительно | Средство АСУ ТП, Программное средство АСУ ТП TRUMPF TruTops Monitor 22.08.21 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 02.05.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— сегментирование сети с целью ограничения доступа к промышленному оборудованию из других подсетей;
— использование средств межсетевого экранирования для ограничения доступа к промышленному оборудованию из общедоступных сетей (Интернет).

Использование рекомендаций:
https://cert.vde.com/en/advisories/VDE-2022-016/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-1300.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://cert.vde.com/en/advisories/VDE-2022-016/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: