ГлавнаяБаза уязвимостей БДУ → BDU:2023-06251
4.9средняя

BDU:2023-06251

Уязвимость программного средства управления промышленными процессами EcoStruxure OPC UA Server Expert, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальной информации
Опубликовано: 2023-10-03
Описание

Уязвимость программного средства управления промышленными процессами EcoStruxure OPC UA Server Expert связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальной информации

Затрагиваемое ПО и версии
EcoStruxur OPC UA Server Expert (до 2.01 SP2)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- блокирование неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- сегментирование сети с целью ограничения доступа к промышленному оборудованию из других подсетей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-192-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-192-02.pdf

Оценка CVSS
Балл4.9 — средняя опасность
Источники и патчи
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-192-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-192-02.pdf
Проверьте безопасность своего сайта и почты → Полная проверка домена