ГлавнаяБаза уязвимостей БДУ → BDU:2023-08773
10критическая

BDU:2023-08773 (CVE-2023-46141)

Уязвимость микропрограммного обеспечения контроллеров Phoenix Contact Automation Worx Software Suite, AXC 1050, AXC 1050 XC, AXC 3050, Config+, FC 350 PCI ETH, ILC1x0, ILC1x1, ILC 3xx, PC Worx, PC Worx Express, PC WORX RT BASIC, PC WORX SRT, RFC 430 ETH-IB, RFC 450 ETH-IB, RFC 460R PN 3TX, RFC 470S PN 3TX, RFC 480S PN 4TX, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить полный доступ к устройству
Опубликовано: 2023-12-18
Описание

Уязвимость микропрограммного обеспечения контроллеров Phoenix Contact Automation Worx Software Suite, AXC 1050, AXC 1050 XC, AXC 3050, Config+, FC 350 PCI ETH, ILC1x0, ILC1x1, ILC 3xx, PC Worx, PC Worx Express, PC WORX RT BASIC, PC WORX SRT, RFC 430 ETH-IB, RFC 450 ETH-IB, RFC 460R PN 3TX, RFC 470S PN 3TX, RFC 480S PN 4TX связана с неправильным присвоением разрешений для критичного ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный доступ к устройству путём загрузки специально сформированного файла проекта

Затрагиваемое ПО и версии
AXC 1050AXC 1050 XCAXC 3050FC 350 PCI ETHILC1x0ILC1x1ILC 3xxPC WORX RT BASICPC WORX SRTRFC 430 ETH-IBRFC 450 ETH-IBRFC 460R PN 3TXRFC 470S PN 3TXRFC 480S PN 4TXAutomation Worx Software SuiteCONFIG+PC WorxPC Worx Express
Способ устранения

Компенсирующие меры:
- сегментирование сети для ограничения доступа к промышленному сегменту;
- ограничение доступа из внешних сетей (Интернет);
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/advisories/GHSA-c4vw-934c-jc76https://cert.vde.com/en/advisories/VDE-2023-055/https://nvd.nist.gov/vuln/detail/CVE-2023-46141https://vuldb.com/ru/?id.248034
Проверьте безопасность своего сайта и почты → Полная проверка домена