Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-07433

Опубликовано: 10 июн. 2021
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость службы HTTP(S) сервера CmWAN приложения контроля лицензий CodeMeter связана с чтением данных за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально созданного HTTP(S)-запроса

Вендор

Wibu-systems AG
Siemens AG

Наименование ПО

CodeMeter Runtime
PSS(R)CAPE
SICAM 230

Версия ПО

до 7.21a (CodeMeter Runtime)
до 16.06.2021 (PSS(R)CAPE)
до 8.00 (SICAM 230)

Тип ПО

Прикладное ПО информационных систем
Программное средство АСУ ТП
ПО программно-аппаратных средств защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение сервера CmWAN;
- запуск сервера CmWAN за обратным прокси-сервером с аутентификацией пользователей;
- использование средств межсетевого экранирования для ограничения доступа к порту CmLAN;
- ограничение доступа к оборудованию из общедоступных сетей (Интернет);
- сегментирование сети с целью ограничения доступа к оборудованию из других подсетей;
- использование VPN для организации удаленного доступа.
Использование рекомендаций:
Для CodeMeter Runtime:
https://cdn.wibu.com/fileadmin/wibu_downloads/security_advisories/Advisory_WIBU-210423-02.pdf
Для Siemens:
https://cert-portal.siemens.com/productcert/pdf/ssa-675303.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 85%
0.02543
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-20094

CVSS3: 7.5
nvd
больше 4 лет назад

A denial of service vulnerability exists in Wibu-Systems CodeMeter versions < 7.21a. An unauthenticated remote attacker can exploit this issue to crash the CodeMeter Runtime Server.

github логотип

GHSA-fm8v-xp26-8h3q

CVSS3: 7.5
github
больше 3 лет назад

A denial of service vulnerability exists in Wibu-Systems CodeMeter versions < 7.21a. An unauthenticated remote attacker can exploit this issue to crash the CodeMeter Runtime Server.

EPSS

Процентиль: 85%
0.02543
Низкий

7.5 High

CVSS3

7.8 High

CVSS2