ГлавнаяБаза уязвимостей БДУ → BDU:2022-04552
7.8высокая

BDU:2022-04552

Уязвимость реализации протокола SNMP микропрограммного обеспечения программируемых логических контроллеров Schneider Electric Modicon M340, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2022-07-21
Описание

Уязвимость реализации протокола SNMP микропрограммного обеспечения программируемых логических контроллеров Schneider Electric Modicon M340 связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально созданных запросов

Затрагиваемое ПО и версии
Modicon M340 Ethernet Communication modules BMXNOE0100 (H)Modicon M340 Ethernet Communication modules BMXNOE0110 (H)Modicon M340 CPU BMXP34 (до 3.50)Modicon M340 X80 Ethernet Communication modules BMXNOR0200H RTU
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничить доступ к порту 161/UDP;
- ограничение доступа к оборудованию из общедоступных сетей (Интернет);
- организация доступа к устройствам только из определенного сегмента сети (сегментирование сети);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-102-02_Modicon_M340_Controller_and_Communication_Modules_Security_Notification.pdf&p_Doc_Ref=SEVD-2022-102-02

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-102-02_Modicon_M340_Controller_and_Communication_Modules_Security_Notification.pdf&p_Doc_Ref=SEVD-2022-102-02
Проверьте безопасность своего сайта и почты → Полная проверка домена