ГлавнаяБаза уязвимостей БДУ → BDU:2023-08132
9высокая

BDU:2023-08132

Уязвимость веб-службы Phoenix Contacts ENERGY AXC PU терминалов управления и мониторинга промышленных процессов и систем автоматизации SMARTRTU AXC IG и SMARTRTU AXC SG, позволяющая нарушителю получить полный контроль над устройством
Опубликовано: 2023-11-27
Описание

Уязвимость веб-службы Phoenix Contacts ENERGY AXC PU терминалов управления и мониторинга промышленных процессов и систем автоматизации SMARTRTU AXC IG и SMARTRTU AXC SG связана с возможностью обхода пути. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный контроль над устройством

Затрагиваемое ПО и версии
ENERGY AXC PU (до 04.15.00.01)SMARTRTU AXC SG (до 01.09.00.00)SMARTRTU AXC IG (до 01.02.00.01 включительно)Infobox (до 02.02.00.00)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение/удаление неиспользуемых учетных записей;
- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;
- ограничение доступа к программному средству из общедоступных сетей (Интернет);
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://www.phoenixcontact.com/en-pc/psirt

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://www.phoenixcontact.com/en-pc/psirthttps://github.com/advisories/GHSA-w923-8w64-f5gh
Проверьте безопасность своего сайта и почты → Полная проверка домена