Идентификатор: BDU:2022-03724.
Наименование уязвимости: Уязвимость микропрограммного обеспечения программируемых логических контроллеров AXC 1050, AXC 1050 XC, AXC 3050, FC 350 PCI ETH, ILC1x0, ILC1x1, ILC 1×1 GSM/GPRS, ILC 3xx, PC WORX RT BASIC, PC WORX SRT, RFC 430 ETH-IB, RFC 450 ETH-IB, RFC 460R PN 3TX, RFC 460R PN 3TX-S, RFC 470 PN 3TX, RFC 470S PN 3TX, RFC 480S PN 4TX, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю получить полный контроль над устройством.
Описание уязвимости: Уязвимость микропрограммного обеспечения программируемых логических контроллеров AXC 1050, AXC 1050 XC, AXC 3050, FC 350 PCI ETH, ILC1x0, ILC1x1, ILC 1×1 GSM/GPRS, ILC 3xx, PC WORX RT BASIC, PC WORX SRT, RFC 430 ETH-IB, RFC 450 ETH-IB, RFC 460R PN 3TX, RFC 460R PN 3TX-S, RFC 470 PN 3TX, RFC 470S PN 3TX, RFC 480S PN 4TX связана с недостаточной проверкой подлинности данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный контроль над устройством
Уязвимое ПО: Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Phoenix Contact GmbH & Co. KG AXC 1050 – | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Phoenix Contact GmbH & Co. KG AXC 1050 XC – | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Phoenix Contact GmbH & Co. KG AXC 3050 – | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Phoenix Contact GmbH & Co. KG FC 350 PCI ETH – | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Phoenix Contact GmbH & Co. KG ILC1x0 – | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Phoenix Contact GmbH & Co. KG ILC1x1 – | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Phoenix Contact GmbH & Co. KG ILC 1×1 GSM/GPRS – | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Phoenix Contact GmbH & Co. KG ILC 3xx – | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Phoenix Contact GmbH & Co. KG PC WORX RT BASIC – | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Phoenix Contact GmbH & Co. KG PC WORX SRT – | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Phoenix Contact GmbH & Co. KG RFC 430 ETH-IB – | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Phoenix Contact GmbH & Co. KG RFC 450 ETH-IB – | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Phoenix Contact GmbH & Co. KG RFC 460R PN 3TX – | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Phoenix Contact GmbH & Co. KG RFC 460R PN 3TX-S – | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Phoenix Contact GmbH & Co. KG RFC 470 PN 3TX – | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Phoenix Contact GmbH & Co. KG RFC 470S PN 3TX – | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Phoenix Contact GmbH & Co. KG RFC 480S PN 4TX – |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 21.06.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению:
Компенсирующие меры:
– использование средств межсетевого экранирования;
– ограничение подключения ПЛК к сетям общего пользования (Интернет);
– сегментирование сети с целью ограничения доступа к оборудованию из других подсетей;
– использование виртуальных частных сетей для организации удаленного доступа (VPN)..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2022-31800. VDE-2022-025.
Тип ошибки CWE: CWE-345
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://cert.vde.com/en/advisories/VDE-2022-025/
