Уязвимость BDU:2022-03220

Уязвимость BDU:2022-03220

Идентификатор: BDU:2022-03220.

Наименование уязвимости: Уязвимость симулятора программного средства программирования ПЛК EcoStruxure Control Expert, системы автоматизации Process Expert, программного средства конфигурирования SCADAPack RemoteConnect и микропрограммного обеспечения программируемых логических контроллеров Modicon M580 и Modicon M340, связанная с обходом аутентификации посредством спуфинга, позволяющая нарушителю получить доступ в режиме чтения и записи.

Описание уязвимости: Уязвимость симулятора программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert, системы автоматизации Process Expert, программного средства конфигурирования SCADAPack RemoteConnect и микропрограммного обеспечения программируемых логических контроллеров Modicon M580 и Modicon M340 связана с обходом аутентификации посредством спуфинга. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ в режиме чтения и записи
Уязвимое ПО: Программное средство АСУ ТП Schneider Electric Modicon M580 — | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Schneider Electric EcoStruxure Hybrid Distributed Control System — | ПО программно-аппаратного средства АСУ ТП Schneider Electric EcoStruxur Process Expert до V2021 | Прикладное ПО информационных систем Schneider Electric SCADAPack RemoteConnect — | ПО программно-аппаратного средства АСУ ТП Schneider Electric EcoStruxure Control Expert V15.1 | ПО программно-аппаратного средства АСУ ТП Schneider Electric EcoStruxure Control Expert до V15.0 SP1 | ПО программно-аппаратного средства АСУ ТП Schneider Electric Modicon M340 до 3.50 | Средство защиты, Прикладное ПО информационных систем Fortinet Inc. FortiGate IPS до 18.124 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 12.04.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению:
Использование рекомендаций производителя:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-01
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-22779.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-01
https://nvd.nist.gov/vuln/detail/CVE-2021-22779
https://www.fortiguard.com/zeroday/FG-VD-20-128
https://securelist.ru/the-secrets-of-schneider-electrics-umas-protocol/105911/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: