СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
09.11.2023

Уязвимость BDU:2023-08079

Уязвимость BDU:2023-08079

Идентификатор: BDU:2023-08079.

Наименование уязвимости: Уязвимость микропрограммного обеспечения панелей управления Quantum HD Unity Compressor, Quantum HD Unity AcuAir, Quantum HD Unity, Quantum HD Unity Engine Room, Quantum HD Unity Interface, позволяющая нарушителю выполнять произвольные команды.

Описание уязвимости: Уязвимость микропрограммного обеспечения панелей управления Quantum HD Unity Compressor, Quantum HD Unity AcuAir, Quantum HD Unity, Quantum HD Unity Engine Room, Quantum HD Unity Interface существует из-за неправильного включения режима отладки для определенных служб. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды путём получения доступа к отладочным функциям устройств
Уязвимое ПО: Микропрограммный код Johnson Controls Inc. Quantum HD Unity Compressor до 11.22 | Микропрограммный код Johnson Controls Inc. Quantum HD Unity Compressor до 12.22 | Микропрограммный код Johnson Controls Inc. Quantum HD Unity AcuAir до 11.12 | Микропрограммный код Johnson Controls Inc. Quantum HD Unity AcuAir до 12.12 | Микропрограммный код Johnson Controls Inc. Quantum HD Unity Condenser до 11.11 | Микропрограммный код Johnson Controls Inc. Quantum HD Unity Condenser до 12.11 | Микропрограммный код Johnson Controls Inc. Quantum HD Unity Vessel до 11.11 | Микропрограммный код Johnson Controls Inc. Quantum HD Unity Vessel до 12.11 | Микропрограммный код Johnson Controls Inc. Quantum HD Unity Evaporator до 11.11 | Микропрограммный код Johnson Controls Inc. Quantum HD Unity Evaporator до 12.11 | Микропрограммный код Johnson Controls Inc. Quantum HD Unity Engine Room до 11.11 | Микропрограммный код Johnson Controls Inc. Quantum HD Unity Engine Room до 12.11 | Микропрограммный код Johnson Controls Inc. Quantum HD Unity Interface до 11.11 | Микропрограммный код Johnson Controls Inc. Quantum HD Unity Interface до 12.11 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 09.11.2023.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
— ограничение доступа из внешних сетей (Интернет);
— использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://www.johnsoncontrols.com/-/media/jci/cyber-solutions/product-security-advisories/2023/jci-psa-2023-09.pdf.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-4804. ICSA-23-313-01.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.cisa.gov/news-events/ics-advisories/icsa-23-313-01
https://www.johnsoncontrols.com/cyber-solutions/security-advisories
https://www.johnsoncontrols.com/-/media/jci/cyber-solutions/product-security-advisories/2023/jci-psa-2023-09.pdf

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: