Уязвимость микропрограммного обеспечения модулей программируемых логических контроллеров MELSEC iQ-R Series Safety CPU и Series SIL2 Process CPU связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить учетные данные путем прослушивания сетевого трафика
Использование рекомендаций:
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-009_en.pdf
Компенсирующие меры:
- ограничение доступа к оборудованию из общедоступных сетей (Интернет);
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- использование функции IP-фильтра для блокирования доступа с ненадежных хостов;
- сегментирование сети с целью ограничения доступа к оборудованию из других подсетей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- регистрация информации о пользователе или изменение пароля через USB. Если информация о пользователе уже зарегистрирована или пароль пользователя был изменен по сети - изменить пароль один раз через USB.
| Балл | 9.4 — критическая опасность |