ГлавнаяБаза уязвимостей БДУ → BDU:2024-01948
10критическая

BDU:2024-01948

Уязвимость программно-аппаратных средств систем пожарной безопасности Cerberus PRO EN и Sinteso EN, связанная с копирование в буфер без проверки размера входных данных, позволяющая нарушителю выполнить произвольный код в базовой операционной системе с root-привилегиями
Опубликовано: 2024-03-14
Описание

Уязвимость программно-аппаратных средств систем пожарной безопасности Cerberus PRO EN и Sinteso EN связана с копирование в буфер без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код в базовой операционной системе с root-привилегиями путём внедрения специально сформированного файла сертификата X.509

Затрагиваемое ПО и версии
Cerberus PRO EN Engineering Tool (до IP8)Cerberus PRO EN Fire Panel FC72x (до IP8)Cerberus PRO EN X200 Cloud Distribution (до 4.0.5016)Cerberus PRO EN X300 Cloud Distribution (до 4.2.5015)Sinteso FS20 EN Engineering Tool (до MP8)Sinteso FS20 EN Fire Panel FC20 (до MP8)Sinteso FS20 EN X200 Cloud Distribution (до 4.0.5016)Sinteso Mobile (до 3.0.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа;
- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://cert-portal.siemens.com/productcert/html/ssa-225840.html

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://cert-portal.siemens.com/productcert/html/ssa-225840.html
Проверьте безопасность своего сайта и почты → Полная проверка домена