СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Уязвимости
ФСТЭК России
13.12.2022
#ИБ

Уязвимость BDU:2023-01151

Уязвимость BDU:2023-01151

Идентификатор: BDU:2023-01151.

Наименование уязвимости: Уязвимость программного обеспечения для онлайн-мониторинга APC Easy UPS Online Monitoring Software, связанная с использованием жестко закодированных учетных данных, позволяющее нарушителю получить несанкционированный доступ к целевой системе.

Описание уязвимости: Уязвимость программного обеспечения для онлайн-мониторинга APC Easy UPS Online Monitoring Software связана с использованием жестко закодированных учетных данных. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к целевой системе
Уязвимое ПО: Сетевое средство, Сетевое программное средство Schneider Electric APC Easy UPS Online Monitoring Software до 2.5-GA-01-22320 | ПО программно-аппаратного средства АСУ ТП Schneider Electric Easy UPS Online до 2.5-GS-01-22320 |

Наименование ОС и тип аппаратной платформы: Windows |
Дата выявления: 13.12.2022.
CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению:
Компенсирующие меры:
— сегментирование сети с целью ограничения доступа к промышленному оборудованию;
— использование средств межсетевого экранирования для ограничения возможности удалённого доступа.

Использование рекомендаций:
https://download.schneider-electric.com/files?p_Doc_SEVD-2022-347-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-347-01_Easy_UPS_Online_Monitoring_Software_Security_Notification.pdf.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-42973. ICSA-22-347-02.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.cisa.gov/news-events/ics-advisories/icsa-22-347-02
https://safe-surf.ru/upload/VULN/VULN-20221228.10.pdf
https://vuldb.com/ru/?id.215451
https://download.schneider-electric.com/files?p_Doc_SEVD-2022-347-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-347-01_Easy_UPS_Online_Monitoring_Software_Security_Notification.pdf

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: