СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
26.11.2024
#ИБ#Инфра

Уязвимость BDU:2024-10789

Уязвимость BDU:2024-10789

Идентификатор: BDU:2024-10789.

Наименование уязвимости: Уязвимость программного средства для конфигурирования HMI-интерфейсов Monitouch V-SFT, связанная с возможностью переполнения буфера на основе стека, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость программного средства для конфигурирования HMI-интерфейсов Monitouch V-SFT связана с возможностью переполнения буфера на основе стека. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с помощью специально созданных файлов V10
Уязвимое ПО: Средство АСУ ТП, Программное средство АСУ ТП Fuji Electric V-SFT до 6.2.3.0 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 26.11.2024.
CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 4.0 составляет 8,4)

Возможные меры по устранению:
Компенсирующие меры:
— ограничение доступа к оборудованию из общедоступных сетей (Интернет);
— использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
— сегментирование сети с целью ограничения доступа к оборудованию из других подсетей;
— использование виртуальных частных сетей для организации удаленного доступа (VPN)..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2024-11787. ICSA-24-338-05. ZDI-24-1614. ZDI-CAN-24413.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.zerodayinitiative.com/advisories/ZDI-24-1614/
https://www.cybersecurity-help.cz/vdb/SB2024112845
https://windowsforum.com/threads/critical-security-alert-vulnerabilities-in-fuji-electrics-monitouch-v-sft-software.347065/
https://www.cisa.gov/news-events/ics-advisories/icsa-24-338-05

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: