Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-02716

Опубликовано: 13 июл. 2021
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения устройства дистанционного управления подстанциями Schneider Electric Easergy T200 связана с отсутствием аутентификации для критически важной функции, Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить несанкционированные операции

Вендор

Schneider Electric

Наименование ПО

Easergy T200 (Modbus)
Easergy T200 (IEC104)
Easergy T200 (DNP3)

Версия ПО

до SC2-04MOD-07000100 включительно (Easergy T200 (Modbus))
до SC2-04IEC-07000100 включительно (Easergy T200 (IEC104))
до SC2-04DNP-07000102 включительно (Easergy T200 (DNP3))

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- изменить пароль по умолчанию при первом подключении к устройству;
- принудительная смена паролей пользователей с определенной периодичностью;
- пароль должен иметь длину не менее 8 символов разных типов.
Использование рекомендаций:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-05

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 51%
0.00283
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-22772

CVSS3: 9.8
nvd
больше 4 лет назад

A CWE-306: Missing Authentication for Critical Function vulnerability exists in Easergy T200 ((Modbus) SC2-04MOD-07000100 and earlier), Easergy T200 ((IEC104) SC2-04IEC-07000100 and earlier), and Easergy T200 ((DNP3) SC2-04DNP-07000102 and earlier) that could cause unauthorized operation when authentication is bypassed.

github логотип

GHSA-9gg2-wj6f-29qm

github
больше 3 лет назад

A CWE-306: Missing Authentication for Critical Function vulnerability exists in Easergy T200 ((Modbus) SC2-04MOD-07000100 and earlier), Easergy T200 ((IEC104) SC2-04IEC-07000100 and earlier), and Easergy T200 ((DNP3) SC2-04DNP-07000102 and earlier) that could cause unauthorized operation when authentication is bypassed.

EPSS

Процентиль: 51%
0.00283
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2