10критическая
BDU:2023-02053
Уязвимость веб-сервера промышленных коммутаторов Siemens SCALANCE X, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код
Опубликовано: 2023-04-13
Описание
Уязвимость веб-сервера промышленных коммутаторов Siemens SCALANCE X связана с неверной обработкой POST-запросов на веб-сервере. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно вызвать отказ в обслуживании или выполнить произвольный код.
Затрагиваемое ПО и версии
SCALANCE X-200 IRT (до 5.5.1)SCALANCE X201-3P IRT (до 5.5.1)SCALANCE X201-3P IRT PRO (до 5.5.1)SCALANCE X202-2 IRT (до 5.5.1)SCALANCE X202-2P IRT (incl. SIPLUS NET variant) (до 5.5.1)SCALANCE X202-2P IRT PRO (до 5.5.1)SCALANCE X204 IRT (до 5.5.1)SCALANCE X204 IRT PRO (до 5.5.1)SCALANCE X204-2 (incl. SIPLUS NET variant) (до 5.5.1)SCALANCE X204-2FM (до 5.5.1)SCALANCE X204-2 (incl. SIPLUS NET variant) (до 5.2.5)SCALANCE X204-2FM (до 5.2.5)SCALANCE X204-2LD (incl. SIPLUS NET variant) (до 5.2.5)SCALANCE X204-2LD TS (до 5.2.5)SCALANCE X204-2TS (до 5.2.5)SCALANCE X206-1 (до 5.2.5)SCALANCE X206-1LD (до 5.2.5)SCALANCE X208 (incl. SIPLUS NET variant) (до 5.2.5)SCALANCE X208PRO (до 5.2.5)SCALANCE X212-2 (incl. SIPLUS NET variant) (до 5.2.5)SCALANCE X212-2LD (до 5.2.5)SCALANCE X216 (до 5.2.5)SCALANCE X224 (до 5.2.5)SCALANCE XF201-3P IRT (до 5.5.1)SCALANCE XF202-2P IRT (до 5.5.1)SCALANCE XF204 (до 5.2.5)SCALANCE XF204 IRT (до 5.5.1)SCALANCE XF204-2 (incl. SIPLUS NET variant) (до 5.2.5)SCALANCE XF204-2BA IRT (до 5.5.1)SCALANCE XF206-1 (до 5.2.5)
Способ устранения
Компенсирующие меры:
- включение CPSEC через команду cluster-security;
- использование средств межсетевого экранирования с целью ограничения доступа к устройству из внешних сетей (Интернет);
- сегментирование сетей для ограничения доступа к промышленному оборудованию из других подсетей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- блокирование доступа к портам 443/tcp и 80/tcp.
Использование рекомендаций:
https://cert-portal.siemens.com/productcert/pdf/ssa-187092.pdf
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи