ГлавнаяБаза уязвимостей БДУ → BDU:2023-03155
9высокая

BDU:2023-03155

Уязвимость программного комплекса промышленной автоматизации Codesys встроенного в программируемые логические контроллеры Schneider Electric, позволяющая нарушителю привести к потере контроля и вызвать отказ в обслуживании
Опубликовано: 2023-06-13
Описание

Уязвимость программного комплекса промышленной автоматизации Codesys встроенного в программируемые логические контроллеры Schneider Electric связана с выходом операции за границы буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, привести к потере контроля и вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Modicon M241Modicon M251Modicon M258Modicon LMC058PacDrive 3 Controllers LMC EcoPacDrive 3 Controllers ProPacDrive 3 Controllers Pro2PacDrive Controller LMC078Modicon M262HMISCU
Способ устранения

Компенсирующие меры:
- ограничение доступа к в портам UDP/1740, TCP/11740 и TCP/1105;
- включение необязательной настройки "Implicit Checks";
- ограничение использования тип данных POINTER;
- ограничение использования инструкции MEMMOVE;
- использование средств межсетевого экранирования для ограничения доступа к устройству;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- использование зашифрованных каналов связи;

Использование рекомендаций:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-01.pdf

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-01.pdf
Проверьте безопасность своего сайта и почты → Полная проверка домена