Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-03322

Опубликовано: 10 мая 2022
Источник: fstec
CVSS3: 8.6
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость системы домашней автоматизации Wiser Smart программируемых логических контролеров Schneider Electric Wiser Controller EER21000 и Wiser Controller EER21001 связана с недостаточным ограничением попыток аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации с помощью атаки методом «грубой силы» (brute force)

Вендор

Schneider Electric

Наименование ПО

Wiser Smart

Версия ПО

до 4.5 включительно (Wiser Smart)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-130-03_WiserSmart_Security_Notification.pdf&p_Doc_Ref=SEVD-2022-130-03
Организационные меры:
• Контроллеры не должны иметь общедоступный или доступный в Интернете IP-адрес.
• Не использовать переадресацию портов для доступа к продуктам из общедоступных сетей.
• Сегментирование сети.
• Использование наиболее надежного доступного шифрования Wi-Fi.
• Соблюдение парольной политики.
• Использование HTTPS в локальной сети.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 56%
0.00337
Низкий

8.6 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-30235

CVSS3: 8.6
nvd
больше 3 лет назад

A CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists that could allow unauthorized access when an attacker uses brute force. Affected Products: Wiser Smart, EER21000 & EER21001 (V4.5 and prior)

github логотип

GHSA-5vh3-4h32-8gf3

CVSS3: 9.8
github
больше 3 лет назад

A CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists that could allow unauthorized access when an attacker uses brute force. Affected Products: Wiser Smart, EER21000 & EER21001 (V4.5 and prior)

EPSS

Процентиль: 56%
0.00337
Низкий

8.6 High

CVSS3

7.8 High

CVSS2