Уязвимость микропрограммного обеспечения программируемых логических контроллеров Modicon M580 и микропрограммного обеспечения зарядных станций EVLink Pro AC связана с некорректными вычислениями размера выделяемого буфера. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированных пакетов с помощью протокола HTTPS
Использование рекомендаций:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-014-01.pdf
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа;
- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- использование средств межсетевого экранирования для ограничения возможности подключения к TCP-порту 443;
- настройка списка управления доступом в соответствии с инструкцией «Modicon M580, Hardware, Reference Manual» (более подробная инструкция описана в бюллетене:
https://www.se.com/ww/en/download/document/EIO0000001578/)
| Балл | 7.8 — высокая опасность |