BDU:2023-01256

Опубликовано: 14 мар. 2023

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения многоконтурного измерителя электрического напряжения PowerLogic HDPM6000 связана с непроверенным индексированием массива. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированного Ethernet-запроса

Вендор

Schneider Electric

Наименование ПО

PowerLogic HDPM6000

Версия ПО

до 0.58.6 включительно (PowerLogic HDPM6000)

Тип ПО

ПО программно-аппаратного средства АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.

В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

- использование средств межсетевого экранирования для ограничения возможности отправки Ethernet-трафика на устройство;

- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;

- ограничение возможности удаленного доступа из внешних сетей (Интернет);

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-073-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-073-02.pdf&_ga=2.81754385.765096877.1678857783-288657633.1651119814

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-073-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-073-02.pdf&_ga=2.81754385.765096877.1678857783-288657633.1651119814

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-28004
CVE

EPSS

Процентиль: 81%

0.01564

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-28004

CVSS3: 9.8

nvd

почти 3 года назад

A CWE-129: Improper validation of an array index vulnerability exists where a specially crafted Ethernet request could result in denial of service or remote code execution.

GHSA-p42v-wxqq-4v5c

CVSS3: 9.8

github

почти 3 года назад

A CWE-129: Improper validation of an array index vulnerability exists where a specially crafted Ethernet request could result in denial of service or remote code execution.

EPSS

Процентиль: 81%

0.01564

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2