СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
23.01.2025

Уязвимость BDU:2025-00764

Уязвимость BDU:2025-00764

Идентификатор: BDU:2025-00764.

Наименование уязвимости: Уязвимость веб-интерфейса системы визуализации и управления промышленными процессами mySCADA myPRO Runtime и платформы управления mySCADA myPRO Manager, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость веб-интерфейса системы визуализации и управления промышленными процессами mySCADA myPRO Runtime и платформы управления mySCADA myPRO Manager связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированных POST-запросов
Уязвимое ПО: Прикладное ПО информационных систем mySCADA Technologies s.r.o. myPRO Runtime до 9.2.1 | Прикладное ПО информационных систем mySCADA Technologies s.r.o. myPRO Manager до 1.3 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 23.01.2025.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Критический уровень опасности (базовая оценка CVSS 4.0 составляет 9,3)

Возможные меры по устранению:
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— использование средств межсетевого экранирования для ограничения удаленного доступа к веб-интерфейсу управления системой;
— использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному обеспечению;
— использование виртуальных частных сетей для организации удаленного доступа (VPN);
— ограничение доступа к уязвимому программному обеспечению из внешних сетей (Интернет).

Использование рекомендаций производителя:
https://www.myscada.org/resources/

Обновление системы визуализации и управления промышленными процессами mySCADA myPRO Runtime до версии 9.2.1;
Обновление платформы управления mySCADA myPRO Manager до версии 1.3.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-20014. ICSA-25-023-01.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-01
https://vuldb.com/?id.293170
https://www.myscada.org/resources/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: