Уязвимость BDU:2019-04229

Дата: 09.07.2019. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2019-04229.

Наименование уязвимости: Уязвимость веб-приложения SIMATIC WinCC DataMonitor, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю загрузить произвольный ASPX код.

Описание уязвимости: Уязвимость веб-приложения SIMATIC WinCC DataMonitor связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, загрузить произвольный ASPX код
Уязвимое ПО: Программное средство АСУ ТП Siemens AG SIMATIC WinCC до 7.2 включительно | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC PCS 7 от 8.2 до 8.2 SP1 | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC PCS 7 до V8.0 включительно | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC PCS 7 до V8.1 | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC WinCC Runtime Professional от V14 до V14.1 Upd 8 | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC WinCC Runtime Professional от V15 до V15.1 Upd 3 | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC WinCC Runtime Professional V13 | Программное средство АСУ ТП Siemens AG SIMATIC WinCC от V7.3 до V7.3 Upd 19 | Программное средство АСУ ТП Siemens AG SIMATIC WinCC от V7.4 до V7.4 SP1 Upd11 | Программное средство АСУ ТП Siemens AG SIMATIC WinCC от V7.5 до V7.5 Upd3 | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC PCS 7 от V9.0 до V9.0 SP2 | Программное средство АСУ ТП Siemens AG SIMATIC WinCC (TIA Portal) Professional V13 | Программное средство АСУ ТП Siemens AG SIMATIC WinCC (TIA Portal) Professional от V14 до V14 SP1 Upd9 | Программное средство АСУ ТП Siemens AG SIMATIC WinCC (TIA Portal) Professional от V15 до М15.1 Upd 3 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 09.07.2019.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)

Возможные меры по устранению:
Обновление программного обеспечения:
Для SIMATIC WinCC V7.3 до V7.3 Upd 19:
https://support.industry.siemens.com/cs/ww/en/view/109768972

Для SIMATIC WinCC Runtime Professional V14 до V14 SP1 Upd 8:
https://support.industry.siemens.com/cs/ww/en/view/109747394

Для SIMATIC PCS 7 V8.1 до V8.1 с WinCC V7.3 SP1 Upd19:
https://support.industry.siemens.com/cs/ww/en/view/109768972

Для SIMATIC PCS 7 V8.2 до V8.2 SP1:
https://support.industry.siemens.com/cs/ww/en/view/109768093

Для SIMATIC PCS 7 V9.0 до V9.0 SP2:
https://support.industry.siemens.com/cs/ww/en/view/109768093

Для SIMATIC WinCC V7.4 до V7.4 SP1 Upd 11:
https://support.industry.siemens.com/cs/ww/en/view/109768093

Для SIMATIC WinCC V7.5 до V7.5 Upd 3:
https://support.industry.siemens.com/cs/ww/en/view/109767227

Для SIMATIC WinCC Runtime Professional V15 до V15.1 Upd 3:
https://support.industry.siemens.com/cs/ww/en/view/109767227

Компенсирующие меры:
Применение глубокоэшелонированной защиты
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2019-10935.

Тип ошибки CWE: CWE-434
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nvd.nist.gov/vuln/detail/CVE-2019-10935
https://cert-portal.siemens.com/productcert/pdf/ssa-121293.pdf

ФСТЭК России

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *