9высокая
BDU:2023-02778
Уязвимость программного комплекса промышленной автоматизации Codesys, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить несанкционированный доступ или вызвать отказ в обслуживании
Опубликовано: 2023-05-24
Описание
Уязвимость программного комплекса промышленной автоматизации Codesys связана с раскрытием информации в ошибочной области данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ или вызвать отказ в обслуживании
Затрагиваемое ПО и версии
Modicon M241Modicon M251Modicon M258Modicon LMC058CODESYS Control RTE (SL) (от 3.0 до 3.5.19.0)CODESYS Control RTE (for Beckhoff CX) SL (от 3.0 до 3.5.19.0)CODESYS Control Win (SL) (от 3.0 до 3.5.19.0)CODESYS Runtime Toolkit (от 3.0 до 3.5.19.0)CODESYS Safety SIL2 Runtime Toolkit (от 3.0 до 3.5.19.0)CODESYS Safety SIL2 PSP (от 3.0 до 3.5.19.0)CODESYS HMI (SL) (от 3.0 до 3.5.19.0)CODESYS Development System V3 (от 3.0 до 3.5.19.0)CODESYS Control for BeagleBone SL (от 3.0 до 4.8.0.0)CODESYS Control for emPC-A/iMX6 SL (от 3.0 до 4.8.0.0)CODESYS Control for IOT2000 SL (от 3.0 до 4.8.0.0)CODESYS Control for Linux SL (от 3.0 до 4.8.0.0)CODESYS Control for PFC100 SL (от 3.0 до 4.8.0.0)CODESYS Control for PLCnext SL (от 3.0 до 4.8.0.0)CODESYS Control for Raspberry Pi SL (от 3.0 до 4.8.0.0)PacDrive 3 Controllers LMC EcoPacDrive 3 Controllers ProPacDrive 3 Controllers Pro2PacDrive Controller LMC078Modicon M262HMISCUCODESYS Control for WAGO Touch Panels 600 SL (от 3.0 до 4.8.0.0)
Способ устранения
Для продуктов Schneider Electric:
Компенсирующие меры:
- ограничение доступа к в портам UDP/1740, TCP/11740 и TCP/1105;
- включение настройки "Implicit Checks";
- ограничение использования тип данных POINTER;
- ограничение использования инструкции MEMMOVE;
- использование средств межсетевого экранирования для ограничения доступа к устройству;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- использование зашифрованных каналов связи.
Для продуктов 3S-Smart Software Solutions GmbH:
https://customers.codesys.com/index.php?eID=dumpFile&t=f&f=17553&token=cf49757d232ea8021f0c0dd6c65e71ea5942b12d&download=
Оценка CVSS
| Балл | 9 — высокая опасность |
Источники и патчи