BDU:2014-00022

Опубликовано: 20 мар. 2014

Источник: fstec

CVSS2: 8.3

EPSS Низкий

Описание

Программное обеспечение программируемого логического контроллера Siemens SIMATIC S7-1200 содержит уязвимость во встроенном в обработчик аутентификации веб-сервера генераторе случайных чисел, при эксплуатации которой путем подбора идентификатора сессии может быть осуществлен перехват сеанса связи

Вендор

Siemens AG

Наименование ПО

Микропрограммное обеспечение программируемого логического контроллера Siemens Simatic S7-1200

Версия ПО

до 4 включительно (Микропрограммное обеспечение программируемого логического контроллера Siemens Simatic S7-1200)

Тип ПО

ПО программно-аппаратного средства АСУ ТП

Операционные системы и аппаратные платформы

Siemens AG Siemens AG Simatic S7-1200 CPU 1211C AC/DC/Rly 1.0.2

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до версии 4.1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

http://ics-cert.us-cert.gov/advisories/ICSA-14-079-02

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 74%

0.00889

Низкий

8.3 High

CVSS2

Связанные уязвимости

CVE-2014-2250

nvd

около 11 лет назад

The random-number generator on Siemens SIMATIC S7-1200 CPU PLC devices with firmware before 4.0 does not have sufficient entropy, which makes it easier for remote attackers to defeat cryptographic protection mechanisms and hijack sessions via unspecified vectors, a different vulnerability than CVE-2014-2251.

GHSA-5qj6-vw7x-6j4g