Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-04413

Опубликовано: 24 июл. 2023
Источник: fstec
CVSS3: 6.3
CVSS2: 6
EPSS Низкий

Описание

Уязвимость программной платформы управления операционными данными для оптимизации производства ABB Ability zenon связана с ошибками использования стандартных разрешений. Эксплуатация уязвимости может позволить нарушителю читать и обновлять произвольные данные в различных каталогах системы

Вендор

Asea Brown Boveri Ltd.

Наименование ПО

zenon

Версия ПО

от 11 до 11 build 106404 включительно (zenon)

Тип ПО

Программное средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:
1.Рекомендуемые методы включают в себя физическую защиту систем управления процессами, отсутствие прямых подключений к Интернету и отделение от других сетей с помощью межсетевого экрана, имеющего минимальное количество открытых портов.
2. Удалить разрешения каталога по умолчанию для «Everyone» в сервисной сетке, утилитах ABB и zenon_Projects каталогах и предоставить доступ только определенным пользователям, которые должны получить доступ к zenon.
3. Установить службы IIoT, т.е. компонент сети услуг, в отдельную систему.
4. Обезопасить связанные c ZEE600 исполняемые файлы в каталоге «C :\ProgureData\ABB\ABButilities», удалив группу с именем «Everyone».
5.Каталог проекта должен иметь доступ только к группе пользователей (исключая администратора), в которой пользователи могут использовать zenon _ Projects.
Использование рекомендаций:
https://search.abb.com/library/Download.aspx?DocumentID=2NGA001801&LanguageCode=en&DocumentPartId=&Action=Launch&_ga=2.194142766.2067879716.1690216773-1911411808.1686627590

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 39%
0.00176
Низкий

6.3 Medium

CVSS3

6 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-3323

CVSS3: 5.9
nvd
больше 2 лет назад

A vulnerability exists by allowing low-privileged users to read and update the data in various directories used by the Zenon system. An attacker could exploit the vulnerability by using specially crafted programs to exploit the vulnerabilities by allowing them to run on the zenon installed hosts. This issue affects ABB Ability™ zenon: from 11 build through 11 build 106404.

github логотип

GHSA-3jmp-h6jj-v2fx

CVSS3: 5.9
github
больше 2 лет назад

A vulnerability exists by allowing low-privileged users to read and update the data in various directories used by the Zenon system. An attacker could exploit the vulnerability by using specially crafted programs to exploit the vulnerabilities by allowing them to run on the zenon installed hosts. This issue affects ABB Ability™ zenon: from 11 build through 11 build 106404.

EPSS

Процентиль: 39%
0.00176
Низкий

6.3 Medium

CVSS3

6 Medium

CVSS2