Описание
Уязвимость микропрограммного обеспечения программируемого логического контроллера LS ELECTRIC XBC-DN32U связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, стирать произвольные файлы
Вендор
LS ELECTRIC Co., Ltd.
Наименование ПО
LS ELECTRIC XBC-DN32U
Версия ПО
01.80 (LS ELECTRIC XBC-DN32U)
Тип ПО
ПО программно-аппаратного средства АСУ ТП
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- ограничение связи с контроллером только доверенными IP-адресами, путём активации настройки «Таблица хостов» в окне конфигурации;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование средств межсетевого экранирования для ограничения доступа к устройству;
- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Информация об устранении отсутствует
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 28%
0.00101
Низкий
9.1 Critical
CVSS3
9 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.1
nvd
почти 3 года назад
LS ELECTRIC XBC-DN32U with operating system version 01.80 is missing authentication for its deletion command. This could allow an attacker to delete arbitrary files.
CVSS3: 9.1
github
почти 3 года назад
LS ELECTRIC XBC-DN32U with operating system version 01.80 is missing authentication for its deletion command. This could allow an attacker to delete arbitrary files.
EPSS
Процентиль: 28%
0.00101
Низкий
9.1 Critical
CVSS3
9 Critical
CVSS2