BDU:2023-04174

Опубликовано: 13 июл. 2023

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения программируемых логических контроллеров Honeywell Experion PKS, измерительно-вычислительных и управляющих контроллеров Experion LX и распределительной системы управления Experion PlantCruise связана с недостаточной проверкой возвращения значения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Honeywell Internatioinal Inc.

Наименование ПО

Experion PKS

Experion LX

Experion PlantCruise

Версия ПО

до R520.2 (Experion PKS)

до R520.2 (Experion LX)

до R520.2 (Experion PlantCruise)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до версии R520.2

Компенсирующие меры:

- ограничение подключения к программному продукту из сетей общего пользования (Интернет);

- сегментирование сети с целью ограничения доступа к промышленному сегменту из других подсетей;

- применение средств межсетевого экранирования уровня веб-приложений.

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 23%

0.00078

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-25948

CVSS3: 7.5

nvd

больше 2 лет назад

Server information leak of configuration data when an error is generated in response to a specially crafted message. See Honeywell Security Notification for recommendations on upgrading and versioning.

GHSA-7fv4-25h2-46hc