Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-01760

Опубликовано: 15 фев. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения программируемого логического контроллера LS ELECTRIC XBC-DN32U связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить возможность контролировать и управлять работой контроллера путём отправки специально сформированных пакетов по протоколу XGT

Вендор

LS ELECTRIC Co., Ltd.

Наименование ПО

LS ELECTRIC XBC-DN32U

Версия ПО

01.80 (LS ELECTRIC XBC-DN32U)

Тип ПО

ПО программно-аппаратного средства АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- ограничение связи с контроллером только доверенными IP-адресами, путём активации настройки «Таблица хостов» в окне конфигурации;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование средств межсетевого экранирования для ограничения доступа к устройству;
- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 30%
0.00109
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-22807

CVSS3: 9.8
nvd
почти 3 года назад

LS ELECTRIC XBC-DN32U with operating system version 01.80 does not properly control access to the PLC over its internal XGT protocol. An attacker could control and tamper with the PLC by sending the packets to the PLC over its XGT protocol.

github логотип

GHSA-qvrw-w6hg-g36x

CVSS3: 9.8
github
почти 3 года назад

LS ELECTRIC XBC-DN32U with operating system version 01.80 does not properly control access to the PLC over its internal XGT protocol. An attacker could control and tamper with the PLC by sending the packets to the PLC over its XGT protocol.

EPSS

Процентиль: 30%
0.00109
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2