ГлавнаяБаза уязвимостей БДУ → BDU:2023-08079
10критическая

BDU:2023-08079

Уязвимость микропрограммного обеспечения панелей управления Quantum HD Unity Compressor, Quantum HD Unity AcuAir, Quantum HD Unity, Quantum HD Unity Engine Room, Quantum HD Unity Interface, позволяющая нарушителю выполнять произвольные команды
Опубликовано: 2023-11-23
Описание

Уязвимость микропрограммного обеспечения панелей управления Quantum HD Unity Compressor, Quantum HD Unity AcuAir, Quantum HD Unity, Quantum HD Unity Engine Room, Quantum HD Unity Interface существует из-за неправильного включения режима отладки для определенных служб. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды путём получения доступа к отладочным функциям устройств

Затрагиваемое ПО и версии
Quantum HD Unity Compressor (до 11.22)Quantum HD Unity Compressor (до 12.22)Quantum HD Unity AcuAir (до 11.12)Quantum HD Unity AcuAir (до 12.12)Quantum HD Unity Condenser (до 11.11)Quantum HD Unity Condenser (до 12.11)Quantum HD Unity Vessel (до 11.11)Quantum HD Unity Vessel (до 12.11)Quantum HD Unity Evaporator (до 11.11)Quantum HD Unity Evaporator (до 12.11)Quantum HD Unity Engine Room (до 11.11)Quantum HD Unity Engine Room (до 12.11)Quantum HD Unity Interface (до 11.11)Quantum HD Unity Interface (до 12.11)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://www.johnsoncontrols.com/-/media/jci/cyber-solutions/product-security-advisories/2023/jci-psa-2023-09.pdf

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.cisa.gov/news-events/ics-advisories/icsa-23-313-01https://www.johnsoncontrols.com/cyber-solutions/security-advisorieshttps://www.johnsoncontrols.com/-/media/jci/cyber-solutions/product-security-advisories/2023/jci-psa-2023-09.pdf
Проверьте безопасность своего сайта и почты → Полная проверка домена