ГлавнаяБаза уязвимостей БДУ → BDU:2022-06249
10критическая

BDU:2022-06249

Уязвимость микропрограммного обеспечения программируемых логических контроллеров Siemens, связанная с копированием буфера без проверки размера входных данных, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-10-13
Описание

Уязвимость микропрограммного обеспечения программируемых логических контроллеров Siemens связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
SIMATIC Drive Controller (до 2.9.2)SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. SIPLUS variants) (до 21.9)SIMATIC ET 200SP Open Controller CPU 1515SP PC (incl. SIPLUS variants)SIMATIC S7-1200 (до 4.5.0)SIMATIC S7-1500 CPU family (до 2.9.2)SIMATIC S7-1500 Software Controller (до 21.9)SIMATIC S7-PLCSIM Advanced (до 4.0)SINUMERIK MC (до 6.15)SINUMERIK ONE (до 6.15)SINAMICS PERFECT HARMONY GH180 Drives (до 2021-08-13)
Способ устранения

Компенсирующие меры:
- ограничить доступ к порту 102/TCP;
- ограничение доступа к оборудованию из общедоступных сетей (Интернет);
- организация доступа к устройствам только из определенного сегмента сети (сегментирование сети).

Использование рекомендаций производителя:
https://cert-portal.siemens.com/productcert/pdf/ssa-434534.pdf
https://cert-portal.siemens.com/productcert/pdf/ssa-434535.pdf
https://cert-portal.siemens.com/productcert/pdf/ssa-434536.pdf

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://cert-portal.siemens.com/productcert/pdf/ssa-434534.pdfhttps://cert-portal.siemens.com/productcert/pdf/ssa-434535.pdfhttps://cert-portal.siemens.com/productcert/pdf/ssa-434536.pdf
Проверьте безопасность своего сайта и почты → Полная проверка домена