Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-03277

Опубликовано: 10 мая 2022
Источник: fstec
CVSS3: 8.2
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость системы автоматизации Wiser Smart программируемых логических контролеров Schneider Electric Wiser Controller EER21000 и Wiser Controller EER21001 связана с отсутствием мер по шифрованию данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, восстановить учетные данные для аутентификации

Вендор

Schneider Electric

Наименование ПО

Wiser Smart

Версия ПО

до 4.5 включительно (Wiser Smart)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-130-03_WiserSmart_Security_Notification.pdf&p_Doc_Ref=SEVD-2022-130-03
Организационные меры:
Контроллеры не должны иметь общедоступный или доступный IP-адрес в общедоступных сетях (Интернет).
Не использовать переадресацию портов для доступа к контроллерам из общедоступных сетей (Интернет).
Сегментирование сети.
Использование наиболее надежных доступных настроек для шифрование Wi-Fi.
Соблюдение парольной политики.
Использование HTTPS в локальной сети.
Ограничение доступа к ненадежным веб-ресурсам.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 29%
0.00105
Низкий

8.2 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-30237

CVSS3: 8.2
nvd
больше 3 лет назад

A CWE-311: Missing Encryption of Sensitive Data vulnerability exists that could allow authentication credentials to be recovered when an attacker breaks the encoding. Affected Products: Wiser Smart, EER21000 & EER21001 (V4.5 and prior)

github логотип

GHSA-gxmq-fph5-fv98

CVSS3: 7.5
github
больше 3 лет назад

A CWE-311: Missing Encryption of Sensitive Data vulnerability exists that could allow authentication credentials to be recovered when an attacker breaks the encoding. Affected Products: Wiser Smart, EER21000 & EER21001 (V4.5 and prior)

EPSS

Процентиль: 29%
0.00105
Низкий

8.2 High

CVSS3

8.5 High

CVSS2