Уязвимость BDU:2023-08770

Уязвимость BDU:2023-08770

Идентификатор: BDU:2023-08770.

Наименование уязвимости: Уязвимость программного средства создания и управления графическим интерфейсом пользователя (HMI) в промышленных автоматизированных системах SCADA CONPROSYS HMI System, связанная с использованием хэша пароля вместо пароля для аутентификации, позволяющая нарушителю раскрыть защищаемую информацию с помощью атаки «человек посередине».

Описание уязвимости: Уязвимость программного обеспечения SCADA CONPROSYS HMI System связана с использованием хэша пароля вместо пароля для аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию с помощью атаки типа «человек посередине»
Уязвимое ПО: Прикладное ПО информационных систем CONTEC CO., LTD CONPROSYS HMI System до 3.4.5 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 19.01.2023.
CVSS 2.0: AV:N/AC:H/Au:S/C:C/I:N/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Обновление программного обеспечения до версии 3.5.0 и выше

Компенсирующие меры:
— использование VPN для доступа к уязвимым устройствам;
— использование физического либо логического (с использованием межсетевого экрана) разграничения доступа к сегменту сети с уязвимым устройством;
— ограничение доступа недоверенных пользователей и устройств к сегменту сети с уязвимым устройством.
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-22334. ICSA-22-347-03.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://jvn.jp/en/vu/JVNVU96873821
https://www.cisa.gov/uscert/ics/advisories/icsa-22-347-03
https://www.contec.com/api/downloadlogger?download=/-/media/Contec/jp/support/security-info/contec_security_chs_230110_en.pdf
https://www.contec.com/download/contract/contract4/?itemid=ea8039aa-3434-4999-9ab6-897aa690210c&downloaditemid=866d7d3c-aae9-438d-87f3-17aa040df90b

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: