ГлавнаяБаза уязвимостей БДУ → BDU:2022-05088
9.4критическая

BDU:2022-05088

Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) Proficy Machine Edition, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-08-18
Описание

Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) Proficy Machine Edition связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально сформированного файла формата .BLZ

Затрагиваемое ПО и версии
Proficy Machine Edition (до 9.80 включительно)
Способ устранения

Компенсирующие меры:
- включение проверки подлинности на ПЛК;
- запрет на запуск Proficy Machine Edition с повышенными привилегиями;
- запрет открытия и использования файлов, полученных из недоверенных источников;
- использование средств межсетевого экранирования;
- ограничение подключения ПЛК к сетям общего пользования (Интернет);
- сегментирование сети с целью ограничения доступа к оборудованию из других подсетей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-06
Проверьте безопасность своего сайта и почты → Полная проверка домена