ГлавнаяБаза уязвимостей БДУ → BDU:2023-00756
10критическая

BDU:2023-00756

Уязвимость механизма проверки кэша программного обеспечения для проектирования, эксплуатации и обслуживания технологических установок COMOS, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-02-16
Описание

Уязвимость механизма проверки кэша программного обеспечения для проектирования, эксплуатации и обслуживания технологических установок COMOS связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
COMOS (от 10.3.3.1 до 10.3.3.1.45)COMOS (от 10.3.3.2 до 10.3.3.2.33)COMOS (от 10.3.3.3 до 10.3.3.3.9)COMOS (от 10.3.3.4 до 10.3.3.4.6)COMOS (от 10.4.0.0 до 10.4.0.0.31)COMOS (от 10.4.1.0 до 10.4.1.0.32)COMOS (от 10.4.2.0 до 10.4.2.0.25)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- включение перезаписи обработки структурированных исключений (SEHOP) в операционной системе Windows, на которой установлен Comos с целью предотвращения возможности выполнения произвольного кода;
- использование средств межсетевого экранирования;
- применение систем обнаружения и предотвращения вторжений;
- сегментирование сети для ограничения доступа к промышленному сегменту;
- использование сторонних средств контроля доступа пользователей (VPN и др.) к программному продукту из общедоступных сетей (Интернет).

Использование рекомендаций производителя:
https://cert-portal.siemens.com/productcert/html/ssa-693110.html

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://cert-portal.siemens.com/productcert/html/ssa-693110.html
Проверьте безопасность своего сайта и почты → Полная проверка домена