BDU:2019-02049

Опубликовано: 14 мая 2019

Источник: fstec

CVSS3: 5.3

CVSS2: 5

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения программируемого логического контроллера Modicon связана с зависимостью от ненадежных входных данных при принятии решения по безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, предоставить неверную информацию, отображаемую в программном обеспечении Unity Pro

Вендор

Schneider Electric

Наименование ПО

Modicon Premium

Modicon Quantum

Modicon M340

Modicon M580

Версия ПО

- (Modicon Premium)

- (Modicon Quantum)

до 3.10 (Modicon M340)

до 2.90 (Modicon M580)

Тип ПО

ПО программно-аппаратного средства АСУ ТП

Программное средство АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Для Modicon M580:

Настройка сегментации сети и внедрение брандмауэра для блокировки несанкционированного доступа к порту 502/TCP

Настройка безопасной связи в соответствии с руководством «Справочное руководство по кибербезопасности платформы Modicon Controllers» в главе «Настройка защищенной связи»:

https://download.schneiderelectric.com/files?p_enDocType=User+guide&p_File_Name=EIO0000001999.06.pdf&p_Doc_Ref=EIO0000001999

Использование модуля BMENOC и следование инструкциям для настройки функции IPSEC, как описано в руководстве «Modicon M580 - BMENOC03.1 Коммуникации через Ethernet Модуль, руководство по установке и настройке »в главе« Настройка IPSEC » коммуникации»:

https://www.schneiderelectric.com/en/download/document/HRB62665/#page=1&toolbar=1&scrollbar=1&statusbar=1&view=fit

Для Modicon M340:

Настройка списка контроля доступа, следуя рекомендациям руководства пользователя. «Руководство пользователя Modicon M340 для коммуникационных модулей и процессоров Ethernet» в главе «Параметры конфигурации обмена сообщениями»:

https://download.schneiderelectric.com/files?p_enDocType=User+guide&p_File_Name=31007131_K01_000_16.pdf&p_Doc_Ref=31007131K01000

Для Modicon Premium:

Настройка списка контроля доступа, следуя рекомендациям руководства пользователя. «Премиум и Atrium с использованием EcoStruxure ™ Control Expert - сетевые модули Ethernet, руководство пользователя» в главах «Параметры конфигурации соединения / Параметры конфигурации служб TCP / IP / Параметры конфигурации соединения»:

https://www.schneider-electric.com/en/download/document/35006192K01000/

Для Modicon Quantum:

Настройка списка контроля доступа, как упомянуто в «Quantum с использованием EcoStruxure ™ Control Expert - конфигурация TCP / IP, руководство пользователя» в главе «Настройки программного обеспечения для обмена данными через Ethernet / обмена сообщениями / настройки обмена сообщениями Quantum NOE Ethernet»:

https://www.schneider-electric.com/en/download/document/33002467K01000/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-7850
CVE

EPSS

Процентиль: 39%

0.00172

Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

CVE-2018-7850

CVSS3: 5.3

nvd

больше 6 лет назад

A CWE-807: Reliance on Untrusted Inputs in a Security Decision vulnerability exists in all versions of the Modicon M580, Modicon M340, Modicon Quantum, and Modicon Premium which could cause invalid information displayed in Unity Pro software.

GHSA-6f6m-mrw4-hx37

github

больше 3 лет назад