Уязвимость BDU:2022-06702

Идентификатор: BDU:2022-06702.

Наименование уязвимости: Уязвимость функции изменения пароля доступа к веб-интерфейсу промышленных коммутаторов Siemens SCALANCE и RUGGEDCOM, позволяющая нарушителю повысить свои привилегии.

Описание уязвимости: Уязвимость функции изменения пароля доступа к веб-интерфейсу промышленных коммутаторов Siemens SCALANCE и RUGGEDCOM связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
Уязвимое ПО: Сетевое средство, ПО сетевого программно-аппаратного средства Siemens AG RUGGEDCOM RM1224 LTE(4G) EU до 7.1.2 | Сетевое средство, ПО сетевого программно-аппаратного средства Siemens AG RUGGEDCOM RM1224 LTE(4G) NAM до 7.1.2 | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE M804PB до 7.1.2 | Сетевое средство, ПО сетевого программно-аппаратного средства Siemens AG SCALANCE M812-1 ADSL-Router до 7.1.2 | Сетевое средство, ПО сетевого программно-аппаратного средства Siemens AG SCALANCE M816-1 ADSL-Router до 7.1.2 | Сетевое средство, ПО сетевого программно-аппаратного средства Siemens AG SCALANCE M826-2 SHDSL-Router до 7.1.2 | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE M874-2 до 7.1.2 | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE M874-3 до 7.1.2 | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE M876-3 до 7.1.2 | Сетевое средство, ПО сетевого программно-аппаратного средства Siemens AG SCALANCE M876-4 до 7.1.2 | Сетевое средство, ПО сетевого программно-аппаратного средства Siemens AG SCALANCE MUM853-1 до 7.1.2 | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE MUM856-1 до 7.1.2 | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE S615 до 7.1.2 | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE SC622-2C – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE SC632-2C – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE SC636-2C – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE SC642-2C – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE SC646-2C – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W721-1 RJ45 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W722-1 RJ45 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W734-1 RJ45 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W738-1 M12 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W748-1 M12 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W748-1 RJ45 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W761-1 RJ45 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W774-1 M12 EEC – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W774-1 RJ45 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W778-1 M12 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W786-1 RJ45 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W786-2 RJ45 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W786-2 SFP – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W786-2IA RJ45 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W788-1 M12 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W788-1 RJ45 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W788-2 M12 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W788-2 RJ45 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W1748-1 M12 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W1788-1 M12 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W1788-2 EEC M12 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W1788-2 M12 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE W1788-2IA M12 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE WAM763-1 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE WAM766-1 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE WUM763-1 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE WUM766-1 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XB205-3 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XB205-3LD – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XB208 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XB213-3 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XB213-3LD – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XB216 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC206-2 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC206-2G PoE – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC206-2G PoE EEC – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC206-2SFP – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC206-2SFP EEC – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC206-2SFP G – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC208 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC208EEC – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC208G – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC208G EEC – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC208G PoE – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC216 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC216-3G PoE – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC216-4C – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC216-4C G – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC216-4C G EEC – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC216EEC – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC224 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC224-4C G – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XC224-4C G EEC – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XF204 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XF204 DNA – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XF204-2BA – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XF204-2BA DNA – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XM408-4C – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XM408-8C – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XM416-4C – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XP208 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XP208EEC – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XP208PoE EEC – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XP216 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XP216EEC – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XP216POE EEC – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XR324WG – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XR326-2C PoE WG – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XR328-4C WG – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XR524-8C – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XR526-8C – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XR528-6M – | ПО программно-аппаратного средства АСУ ТП Siemens AG SCALANCE XR552-12M – | ПО программно-аппаратного средства АСУ ТП Siemens AG SIPLUS NET SCALANCE XC206-2 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SIPLUS NET SCALANCE XC206-2SFP – | ПО программно-аппаратного средства АСУ ТП Siemens AG SIPLUS NET SCALANCE XC208 – | ПО программно-аппаратного средства АСУ ТП Siemens AG SIPLUS NET SCALANCE XC216-4C – |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 10.11.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
– использование списков контроля доступа (ACL) для ограничения доступа к веб-серверу;
– блокирование доступа к 443 и 80 TCP-портам;
– сегментирование сетей для ограничения доступа к промышленному оборудованию из других подсетей;
– использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://cert-portal.siemens.com/productcert/pdf/ssa-552702.pdf.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-31765.