Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-02785

Опубликовано: 14 апр. 2022
Источник: fstec
CVSS3: 6.4
CVSS2: 6.5
EPSS Низкий

Описание

Уязвимость реализации сетевого протокола сервера виртуализации AD (Automation Design) SCADA-системы Yokogawa CENTUM VP связана с ошибками при проведении процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, использовать функционал, предоставляемый сервером AD

Вендор

Yokogawa Electric Corporation

Наименование ПО

CENTUM VP
CENTUM VP Entry Class
ProSafe-RS

Версия ПО

от R6.01.10 до R6.09.04 (CENTUM VP)
от R6.01.10 до R6.09.04 (CENTUM VP Entry Class)
от R4.01.00 до R4.07.02 (ProSafe-RS)

Тип ПО

Программное средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,4)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- сегментирование сети с целью ограничения доступа к промышленному оборудованию из других подсетей;
- использование средств межсетевого экранирования для ограничения доступа к промышленному оборудованию из общедоступных сетей (Интернет).
Информация от производителя:
https://www.yokogawa.com/library/resources/white-papers/yokogawa-security-advisory-report-list/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 51%
0.00282
Низкий

6.4 Medium

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-26034

CVSS3: 9.1
nvd
почти 4 года назад

Improper authentication vulnerability in the communication protocol provided by AD (Automation Design) server of CENTUM VP R6.01.10 to R6.09.00, CENTUM VP Small R6.01.10 to R6.09.00, CENTUM VP Basic R6.01.10 to R6.09.00, and B/M9000 VP R8.01.01 to R8.03.01 allows an attacker to use the functions provided by AD server. This may lead to leakage or tampering of data managed by AD server.

github логотип

GHSA-6r8v-ww3c-grvh

CVSS3: 9.1
github
почти 4 года назад

Improper authentication vulnerability in the communication protocol provided by AD (Automation Design) server of CENTUM VP R6.01.10 to R6.09.00, CENTUM VP Small R6.01.10 to R6.09.00, CENTUM VP Basic R6.01.10 to R6.09.00, and B/M9000 VP R8.01.01 to R8.03.01 allows an attacker to use the functions provided by AD server. This may lead to leakage or tampering of data managed by AD server.

EPSS

Процентиль: 51%
0.00282
Низкий

6.4 Medium

CVSS3

6.5 Medium

CVSS2