Уязвимость BDU:2015-12268

Дата: 23.12.2015. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2015-12268.

Наименование уязвимости: Уязвимость микропрограммного обеспечения программируемых логических контроллеров PCD, позволяющая нарушителю получить права администратора.

Описание уязвимости: Уязвимость микропрограммного обеспечения программируемых логических контроллеров PCD существует из-за жёсткого кодирования регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить права администратора через FTP-сессию
Уязвимое ПО: ПО сетевого программно-аппаратного средства Saia-Burgess Electronics Inc. PCD1.M0xx0 до 1.24.50 | ПО сетевого программно-аппаратного средства Saia-Burgess Electronics Inc. PCD1.M2xx0 до 1.24.50 | ПО сетевого программно-аппаратного средства Saia-Burgess Electronics Inc. PCD2.M5xx0 до 1.24.50 | ПО сетевого программно-аппаратного средства Saia-Burgess Electronics Inc. PCD3.Mxx60 до 1.24.50 | ПО сетевого программно-аппаратного средства Saia-Burgess Electronics Inc. PCD7.D4xxD до 1.24.50 | ПО сетевого программно-аппаратного средства Saia-Burgess Electronics Inc. PCD7.D4xxWTPF до 1.24.50 | ПО сетевого программно-аппаратного средства Saia-Burgess Electronics Inc. PCD7.D4xxV до 1.24.50 | ПО сетевого программно-аппаратного средства Saia-Burgess Electronics Inc. PCD7.D4xxxT5F до 1.24.50 | ПО сетевого программно-аппаратного средства Saia-Burgess Electronics Inc. PCD3.Mxxx0 до 1.24.50 | ПО сетевого программно-аппаратного средства Saia-Burgess Electronics Inc. PCD3.T666 до 1.24.41 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 23.12.2015.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Возможные меры по устранению:
Использование средств межсетевого экранирования, изолирование устройств от внешней сети, установка обновления, доступного по адресу: https://www.sbc-support.com/en/product-index/firmware-for-saia-pcdr-cosinus/firmware-used-in-production/
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2015-7911.
Прочая информация:
Тип ошибки CWE: CWE-255
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://ics-cert.us-cert.gov/advisories/ICSA-15-335-01
https://www.sbc-support.com/en/product-index/firmware-for-saia-pcdr-cosinus/firmware-used-in-production/
https://www.sbc-support.com/en/product-category/communication-protocols/pcd-on-internet/upgrade-it-security/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.