Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03754

Опубликовано: 24 янв. 2013
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость микропрограммного обеспечения программируемых логических контроллеров Allen Bradley компании Rockwell Automation связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код в результате использования модифицированного встроенного программного обеспечения

Вендор

Rockwell Automation Inc.

Наименование ПО

Allen Bradley 1756-ENBT
Allen Bradley 1756-EWEB
Allen Bradley 1768-ENBT
Allen Bradley 1768-EWEB
Allen Bradley CompactLogix L35E
Allen Bradley 1788-ENBT FLEXLogix adapter
Allen Bradley 1794-AENTR FLEX I/O EtherNet/IP adapter
Allen Bradley MicroLogix 1400 Series A
Allen Bradley MicroLogix 1100
Allen Bradley CompactLogix L32E
Allen Bradley ControlLogix
Allen Bradley ControlLogix controllers
Allen Bradley CompactLogix
Allen Bradley CompactLogix controllers
Allen Bradley GuardLogix
Allen Bradley GuardLogix controllers
Allen Bradley SoftLogix
Allen Bradley SoftLogix controllers

Версия ПО

- (Allen Bradley 1756-ENBT)
- (Allen Bradley 1756-EWEB)
- (Allen Bradley 1768-ENBT)
- (Allen Bradley 1768-EWEB)
- (Allen Bradley CompactLogix L35E)
- (Allen Bradley 1788-ENBT FLEXLogix adapter)
- (Allen Bradley 1794-AENTR FLEX I/O EtherNet/IP adapter)
- (Allen Bradley MicroLogix 1400 Series A)
- (Allen Bradley MicroLogix 1100)
- (Allen Bradley CompactLogix L32E)
до 18 включительно (Allen Bradley ControlLogix)
до 20 включительно (Allen Bradley ControlLogix controllers)
до 18 включительно (Allen Bradley CompactLogix)
до 19 включительно (Allen Bradley CompactLogix controllers)
до 18 включительно (Allen Bradley GuardLogix)
до 20 включительно (Allen Bradley GuardLogix controllers)
до 18 включительно (Allen Bradley SoftLogix)
до 19 включительно (Allen Bradley SoftLogix controllers)

Тип ПО

ПО программно-аппаратного средства АСУ ТП
Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до актуальной версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.11818
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2012-6437

nvd
около 13 лет назад

The device does not properly authenticate users and the potential exists for a remote user to upload a new firmware image to the Ethernet card, whether it is a corrupt or legitimate firmware image. Successful exploitation of this vulnerability could cause loss of availability, integrity, and confidentiality and a disruption in communications with other connected devices. Rockwell Automation EtherNet/IP products; 1756-ENBT, 1756-EWEB, 1768-ENBT, and 1768-EWEB communication modules; CompactLogix L32E and L35E controllers; 1788-ENBT FLEXLogix adapter; 1794-AENTR FLEX I/O EtherNet/IP adapter; ControlLogix 18 and earlier; CompactLogix 18 and earlier; GuardLogix 18 and earlier; SoftLogix 18 and earlier; CompactLogix controllers 19 and earlier; SoftLogix controllers 19 and earlier; ControlLogix controllers 20 and earlier; GuardLogix controllers 20 and earlier; and MicroLogix 1100 and 1400

github логотип

GHSA-r6pv-mqwg-xq5g

github
больше 3 лет назад

Rockwell Automation EtherNet/IP products; 1756-ENBT, 1756-EWEB, 1768-ENBT, and 1768-EWEB communication modules; CompactLogix L32E and L35E controllers; 1788-ENBT FLEXLogix adapter; 1794-AENTR FLEX I/O EtherNet/IP adapter; ControlLogix 18 and earlier; CompactLogix 18 and earlier; GuardLogix 18 and earlier; SoftLogix 18 and earlier; CompactLogix controllers 19 and earlier; SoftLogix controllers 19 and earlier; ControlLogix controllers 20 and earlier; GuardLogix controllers 20 and earlier; and MicroLogix 1100 and 1400 do not properly perform authentication for Ethernet firmware updates, which allows remote attackers to execute arbitrary code via a Trojan horse update image.

EPSS

Процентиль: 94%
0.11818
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2