BDU:2015-11969

Опубликовано: 28 окт. 2015

Источник: fstec

CVSS2: 10

EPSS Низкий

Описание

Уязвимость веб-интерфейса микропрограммного обеспечения систем контроля состояния цепей электропитания Janitza UMG 508, 509, 511, 604, 605 обусловлена тем, что устройства поддерживают только короткие PIN-коды аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к устройству путем подбора пароля

Вендор

Janitza electronics GmbH

Наименование ПО

Janitza UMG 508

Janitza UMG 605

Janitza UMG 511

Janitza UMG 509

Janitza UMG 604

Версия ПО

. (Janitza UMG 508)

. (Janitza UMG 605)

. (Janitza UMG 511)

. (Janitza UMG 509)

. (Janitza UMG 604)

Тип ПО

ПО программно-аппаратного средства АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Возможные меры по устранению уязвимости

1) Обновление микропрограммного обеспечения до более новой версии:

http://www.janitza.com/experimental-downloads.html

2) Использование рекомендаций, доступных по адресу:

https://ics-cert.us-cert.gov/advisories/ICSA-15-265-03

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://ics-cert.us-cert.gov/advisories/ICSA-15-265-03

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3972
CVE

EPSS

Процентиль: 72%

0.00707

Низкий

10 Critical

CVSS2

Связанные уязвимости

CVE-2015-3972

nvd

больше 10 лет назад

The web interface on Janitza UMG 508, 509, 511, 604, and 605 devices supports only short PIN values for authentication, which makes it easier for remote attackers to obtain access via a brute-force attack.

GHSA-fmpv-vgf3-9w39