Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-04724

Опубликовано: 29 июл. 2022
Источник: fstec
CVSS3: 6.5
CVSS2: 6.1
EPSS Низкий

Описание

Уязвимость распределённых систем управления CENTUM CS 3000, CENTUM CS 3000 Entry Class, CENTUM VP и CENTUM VP Entry Class связана с ошибками управления ресурсом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании путем отправки специально созданных вредоносных пакетов

Вендор

Yokogawa Electric Corporation

Наименование ПО

CENTUM VP
CENTUM VP Entry Class
CENTUM CS 3000
CENTUM CS 3000 Entry Class

Версия ПО

от R4.01.00 до R4.03.00 включительно (CENTUM VP)
от R4.01.00 до R4.03.00 включительно (CENTUM VP Entry Class)
- (CENTUM CS 3000)
- (CENTUM CS 3000 Entry Class)
от R5.01.00 до R5.04.78 (CENTUM VP Entry Class)
от R5.01.00 до R5.04.78 (CENTUM VP)
от R6.01.00 до R6.03.10 (CENTUM VP)
от R6.01.00 до R6.03.10 (CENTUM VP Entry Class)

Тип ПО

Программное средство АСУ ТП
ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Компания Yokogawa не планирует выпускать обновления для программных продуктов CENTUM CS 3000 и CENTUM CS 3000 Entry Class, т.к они вступили в процесс вывода из эксплуатации и рекомендует заменить данные продкты аналогичными (CENTUM VP и CENTUM VP Entry Class) и обновить их до последней версии:
https://web-material3.yokogawa.com/1/33029/files/YSAR-22-0008-E.pdf
Организационные меры:
- сегментирование сети с целью ограничения доступа к промышленному оборудованию из других подсетей;
- использование средств межсетевого экранирования для ограничения доступа к промышленному оборудованию из общедоступных сетей (Интернет);
- использование виртуальных частных сетей (VPN) для удаленного доступа

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 49%
0.00263
Низкий

6.5 Medium

CVSS3

6.1 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-33939

CVSS3: 7.5
nvd
больше 3 лет назад

CENTUM VP / CS 3000 controller FCS (CP31, CP33, CP345, CP401, and CP451) contains an issue in processing communication packets, which may lead to resource consumption. If this vulnerability is exploited, an attacker may cause a denial of service (DoS) condition in ADL communication by sending a specially crafted packet to the affected product.

github логотип

GHSA-hg36-5628-7f89

CVSS3: 7.5
github
больше 3 лет назад

CENTUM VP / CS 3000 controller FCS (CP31, CP33, CP345, CP401, and CP451) contains an issue in processing communication packets, which may lead to resource consumption. If this vulnerability is exploited, an attacker may cause a denial of service (DoS) condition in ADL communication by sending a specially crafted packet to the affected product.

EPSS

Процентиль: 49%
0.00263
Низкий

6.5 Medium

CVSS3

6.1 Medium

CVSS2