ГлавнаяБаза уязвимостей БДУ → BDU:2023-00228
7.6высокая

BDU:2023-00228

Уязвимость микропрограммного обеспечения программируемых логических контроллеров Schneider Electric, связанная с недостаточной проверкой необычных или исключительных состояний, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
Опубликовано: 2023-01-20
Описание

Уязвимость микропрограммного обеспечения программируемых логических контроллеров Schneider Electric связана с недостаточной проверкой исключительных состояний. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или вызвать отказ в обслуживании с помощью специально созданного вредоносного файла

Затрагиваемое ПО и версии
Modicon M580EcoStruxure Control ExpertEcoStruxur Process Expert (до V2020 включительно)Modicon M340 CPU BMXP34Momentum Unity M1E Processor (171CBU)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение доступа к порту 502/TCP;
- ограничение доступа к оборудованию из общедоступных сетей (Интернет);
- организация доступа к устройствам только из определенного сегмента сети (сегментирование сети);
- настройка встроенной системы разграничения доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://download.schneider-electric.com/files?p_File_Name=SEVD-2023-010-05_Modicon_Controllers_Security_Notification.pdf

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://download.schneider-electric.com/files?p_File_Name=SEVD-2023-010-05_Modicon_Controllers_Security_Notification.pdf
Проверьте безопасность своего сайта и почты → Полная проверка домена