Уязвимость программного комплекса промышленной автоматизации Codesys встроенного в программируемые логические контроллеры Schneider Electric связана с выходом операции за границы буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, привести к потере контроля и вызвать отказ в обслуживании
Компенсирующие меры:
- ограничение доступа к в портам UDP/1740, TCP/11740 и TCP/1105;
- включение необязательной настройки "Implicit Checks";
- ограничение использования тип данных POINTER;
- ограничение использования инструкции MEMMOVE;
- использование средств межсетевого экранирования для ограничения доступа к устройству;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- использование зашифрованных каналов связи;
Использование рекомендаций:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-01.pdf
| Балл | 9 — высокая опасность |