ГлавнаяБаза уязвимостей БДУ → BDU:2024-09889
9высокая

BDU:2024-09889

Уязвимость службы CODESYS V3 микропрограммного обеспечения контроллеров WAGO, позволяющая нарушителю получить полный доступ к контроллеру или вызвать отказ в обслуживании
Опубликовано: 2024-11-20
Описание

Уязвимость службы CODESYS V3 микропрограммного обеспечения контроллеров WAGO связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный доступ к контроллеру или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
WAGO Compact Controller CC100 (до 4.5.10 (FW27) включительно)WAGO Edge Controller (до 4.5.10 (FW27) включительно)WAGO PFC100 G1 (до 3.10.11)WAGO PFC100 G2 (до 4.5.10 (FW27) включительно)WAGO PFC200 G1 (до 3.10.11)WAGO PFC200 G2 (до 4.5.10 (FW27) включительно)WAGO Touch Panel 600 (до 4.5.10 (FW27) включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к контроллеру;
- отключение/удаление неиспользуемых учётных записей пользователей;
- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;
- ограничение доступа к контроллеру из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций:
Обновление прошивки до версии 28

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://certvde.com/en/advisories/VDE-2024-047/
Проверьте безопасность своего сайта и почты → Полная проверка домена