СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
01.05.2025

Уязвимость BDU:2025-05288

Уязвимость BDU:2025-05288

Идентификатор: BDU:2025-05288.

Наименование уязвимости: Уязвимость микропрограммного обеспечения панелей управления оборудованием Honeywell MB-Secure и MB-Secure PRO, связанная с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы, позволяющая нарушителю выполнять произвольные команды с повышенными привилегиями.

Описание уязвимости: Уязвимость микропрограммного обеспечения панелей управления оборудованием Honeywell MB-Secure и MB-Secure PRO связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды с повышенными привилегиями
Уязвимое ПО: ПО программно-аппаратных средств защиты, ПО программно-аппаратного средства АСУ ТП Honeywell Internatioinal Inc. MB-Secure от 11.04 до 12.53 | ПО программно-аппаратных средств защиты, ПО программно-аппаратного средства АСУ ТП Honeywell Internatioinal Inc. MB-Secure PRO от 01.06 до 03.09 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 01.05.2025.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)

Возможные меры по устранению:
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— использование средств межсетевого экранирования для ограничения возможности удалённого доступа к уязвимому устройству;
— сегментирование сети для ограничения доступа к уязвимому устройству из других подсетей;
— использование «белого» списка IP-адресов для ограничения доступа к уязвимому устройству;
— использование виртуальных частных сетей для организации удаленного доступа (VPN);
— ограничение доступа к устройству из внешних сетей (Интернет).

Использование рекомендаций:
https://www.honeywell.com/content/dam/honeywellbt/en/documents/downloads/product-security/security-notification/hon-corp-os-command-injection-honeywell-mb-secure-2025-05-01-01.pdf.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-2605.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.honeywell.com/content/dam/honeywellbt/en/documents/downloads/product-security/security-notification/hon-corp-os-command-injection-honeywell-mb-secure-2025-05-01-01.pdf

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: