Уязвимость компонентов ObjectManager.plugin и ProfileInformation.ProfileData комплекса прикладного программирования ПЛК CODESYS Development System связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю выполнить произвольные команды с помощью специально созданного файла
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- активное применение функций управления пользователями и паролями;
- ограничение доступа к системе разработки, к системе управления физическими средствами и тп.;
- использование зашифрованных каналов связи;
- использование современных решений для обнаружения вирусов.
Использование рекомендаций:
Для продуктов Schneider Electric:
https://www.se.com/ae/en/download/document/SEVD-2022-011-06/
Для продуктов CODESYS:
https://customers.codesys.com/index.phpeID=dumpFile&t=f&f=16805&token=ee583c498941d9fda86490bca98ff21928eec08a&download=
| Балл | 7.2 — высокая опасность |