ГлавнаяБаза уязвимостей БДУ → BDU:2023-01595
8высокая

BDU:2023-01595

Уязвимость программируемых логических контроллеров Merten KNX, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить доступ к устройству
Опубликовано: 2023-03-28
Описание

Уязвимость программируемых логических контроллеров Merten KNX связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к устройству

Затрагиваемое ПО и версии
Merten INSTABUS Tastermodul 1fach System M 625199 (1.0)Merten INSTABUS Tastermodul 2fach System M 625299 (1.0)Merten Tasterschnittstelle 4fach plus 670804 (1.0)Merten Tasterschnittstelle 4fach plus 670804 (2.0)Merten KNX Uni-Dimmaktor LL REG-K/2x230/300 W MEG6710-0002 (1.0)Merten KNX Uni-Dimmaktor LL REG-K/2x230/300 W MEG6710-0002 (1.1)Merten KNX ARGUS 180/2,20M UP SYSTEM 631725 (1.0)Merten Jalousie-/Schaltaktor REG-K/8x/16x/10 m. HB 649908 (1.0)Merten KNX Schaltakt.2x6A UP m.2 Eing. MEG6003-0002 (1.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение режима «Program»;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- сегментирование сети с целью ограничения доступа к промышленному оборудованию из других подсетей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-045-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-045-03.pdf

Оценка CVSS
Балл8 — высокая опасность
Источники и патчи
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-045-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-045-03.pdf
Проверьте безопасность своего сайта и почты → Полная проверка домена