ГлавнаяБаза уязвимостей БДУ → BDU:2019-01864
3.5средняя

BDU:2019-01864 (CVE-2017-6572)

Уязвимость интегрированного веб-сервера устройств SIMATIC, связанная с недостаточной защитой структуры веб-страницы, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации
Опубликовано: 2019-05-31
Описание

Уязвимость интегрированного веб-сервера устройств SIMATIC связана с недостаточной защитой структуры веб-страницы при изменении определенной части конфигурации устройства с помощью SNMP. Эксплуатация уязвимости может позволить нарушителю, имеющего доступ к уязвимой системе, системные права и возможность взаимодействия с пользователем, оказать воздействие на конфиденциальность и целостность защищаемой информации

Затрагиваемое ПО и версии
SIMATIC HMI Comfort Outdoor Panels 7" and 15" (до 15.1 Update 1)SIMATIC HMI KTP Mobile Panels (до 15.1 Update 1)SIMATIC WinCC Runtime Advanced (до 15.1 Update 1)SIMATIC WinCC Runtime Professional (до 15.1 Update 1)SIMATIC WinCC (TIA Portal) (до 15.1 Update 1)SIMATIC HMI Comfort 4 -22" Panels (до 15.1 Update 1)SIMATIC HMI TP Mobile PanelSIMATIC HMI OP Mobile PanelSIMATIC HMI MP Mobile Panel
Способ устранения

Обновление прграммного обеспечения для SIMATIC HMI Comfort Panels 4" - 22", SIMATIC HMI Comfort Outdoor Panels 7" & 15", SIMATIC HMI KTP Mobile Panels, SIMATIC WinCC Runtime Advanced, SIMATIC WinCC Runtime Professional, SIMATIC WinCC (TIA Portal) до V15.1 Update 1:
https://support.industry.siemens.com/cs/ww/en/view/109763890/

Компенсирующие меры для SIMATIC HMI Classic Devices (TP/MP/OP/MP Mobile Panel):
Ограничение доступа к веб-интерфейсу уязвимых устройств
Ограничение доступа к порту 161/UDP для доверенных устройств

Оценка CVSS
Балл3.5 — средняя опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2017-6572https://cert-portal.siemens.com/productcert/pdf/ssa-804486.pdf
Проверьте безопасность своего сайта и почты → Полная проверка домена