ГлавнаяБаза уязвимостей БДУ → BDU:2022-03254
7.2высокая

BDU:2022-03254 (CVE-2022-24287)

Уязвимость реализации режима Kiosk программного обеспечения продуктов Siemens SIMATIC, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2022-06-02
Описание

Уязвимость реализации режима Kiosk программного обеспечения продуктов Siemens SIMATIC связана с небезопасной инициализацией ресурса. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии путем открытия диалогового окна принтера в уязвимом приложении даже если принтер не установлен

Затрагиваемое ПО и версии
SIMATIC PCS 7 (до 9.1 включительно)SIMATIC WinCC Runtime Professional (до 17 включительно)SIMATIC WinCC (до 7.4 включительно)SIMATIC WinCC (от 7.5 до 7.5 SP2 Update 8)
Способ устранения

Использование рекомендаций:
https://cert-portal.siemens.com/productcert/pdf/ssa-363107.pdf

Организационные меры:
В уязвимой системе должен быть установлен как минимум один принтер по умолчанию (но не файловый принтер, как, например, принтер PDF/XPS)
Не следует использовать файловый принтер (Принтеры PDF/XPS)
Следует защитить узел приложения, чтобы предотвратить локальный доступ ненадежного персонала

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://cert-portal.siemens.com/productcert/pdf/ssa-363107.pdfhttps://nvd.nist.gov/vuln/detail/CVE-2022-24287https://vuldb.com/ru/?id.200438
Проверьте безопасность своего сайта и почты → Полная проверка домена