ГлавнаяБаза уязвимостей БДУ → BDU:2023-06520
7.5высокая

BDU:2023-06520

Уязвимость реализации единого входа Single sign-on (SSO) средства управления активами предприятия в сфере энергетики Asset Suite EAM (Enterprise Asset Management), позволяющая нарушителю обойти ограничения безопасности и получить доступ на чтение, изменение или удаление данных
Опубликовано: 2023-10-10
Описание

Уязвимость реализации единого входа Single sign-on (SSO) средства управления активами предприятия в сфере энергетики Asset Suite EAM (Enterprise Asset Management) связана с недостатками процедуры аутентификации в результате ошибочной валидации при вводе произвольного пароля. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения безопасности и получить доступ на чтение, изменение или удаление данных

Затрагиваемое ПО и версии
Asset Suite EAM (Enterprise Asset Management) (до 9.6.3.11.1 включительно)Asset Suite EAM (Enterprise Asset Management) (9.6.4)
Способ устранения

Использование рекомендаций:
https://images.go.hitachienergy.com/Web/ABBEnterpriseSoftware/%7B70b3d323-4866-42e1-8a75-58996729c1d4%7D_8DBD000172-VU-2023-23_Asset_Suite_Tagout_vulnerability_Rev1.pdf

Компенсирующие меры:
1. Используйте другой метод аутентификации, отличный от Single sign-on (SSO).
2. Отменить авторизацию для всех пользователей на следующие события безопасности:
T214ACT, T214RLS и T214CLR.
3. Установите для параметра «C/O HOLDER PSWD» значение «N».

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://images.go.hitachienergy.com/Web/ABBEnterpriseSoftware/%7B70b3d323-4866-42e1-8a75-58996729c1d4%7D_8DBD000172-VU-2023-23_Asset_Suite_Tagout_vulnerability_Rev1.pdfhttps://www.cisa.gov/news-events/ics-advisories/icsa-23-269-02
Проверьте безопасность своего сайта и почты → Полная проверка домена