BDU:2022-05224

Опубликовано: 16 авг. 2022

Источник: fstec

CVSS3: 5.9

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) Proficy Machine Edition связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю загрузить и выполнить вредоносный файл в целевой системе

Вендор

Emerson Electric Corp.

Наименование ПО

Proficy Machine Edition

Версия ПО

до 9.80 включительно (Proficy Machine Edition)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- включение проверки подлинности на ПЛК;

- запрет на запуск Proficy Machine Edition с повышенными привилегиями;

- запрет открытия и использования файлов, полученных из недоверенных источников;

- использование средств межсетевого экранирования;

- ограничение подключения ПЛК к сетям общего пользования (Интернет);

- сегментирование сети с целью ограничения доступа к оборудованию из других подсетей;

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-06

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 15%

0.00048

Низкий

5.9 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2022-2791

CVSS3: 5.9

nvd

около 3 лет назад

Emerson Electric's Proficy Machine Edition Version 9.00 and prior is vulnerable to CWE-434 Unrestricted Upload of File with Dangerous Type, and will upload any file written into the PLC logic folder to the connected PLC.

GHSA-gcxh-h8m8-8wr4

CVSS3: 7.8

github