BDU:2023-06565

Опубликовано: 10 окт. 2023

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость программного обеспечения энергомониторинга EcoStruxure Power Monitoring Expert, EcoStruxure Power Operation (EPO) with Advanced Reports, EcoStruxure Power SCADA Operation with Advanced Reports связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код, путём отправки специально сформированного пакета приложению

Вендор

Schneider Electric

Наименование ПО

EcoStruxure Power Monitoring Expert

EcoStruxure Power Operation (EPO) with Advanced Reports

EcoStruxure Power SCADA Operation with Advanced Reports

Версия ПО

до Hotfix-145271 включительно (EcoStruxure Power Monitoring Expert)

до Hotfix-145271 включительно (EcoStruxure Power Operation (EPO) with Advanced Reports)

до Hotfix-145271 включительно (EcoStruxure Power SCADA Operation with Advanced Reports)

Тип ПО

Программное средство АСУ ТП

Средство АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.

В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

- внедрение механизма «белого» списка IP-адресов для ограничения доступа к программному средству;

- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;

- сегментирование сети для ограничения возможности доступа к промышленному сегменту из других подсетей;

- ограничение доступа из внешних сетей (Интернет);

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-283-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-283-02.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-283-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-283-02.pdf

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-5391
CVE

EPSS

Процентиль: 57%

0.00351

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-5391

CVSS3: 9.8

nvd

больше 2 лет назад

A CWE-502: Deserialization of untrusted data vulnerability exists that could allow an attacker to execute arbitrary code on the targeted system by sending a specifically crafted packet to the application.

GHSA-w228-frcg-5x99

CVSS3: 9.8

github

больше 2 лет назад

A?CWE-502:?Deserialization of untrusted data?vulnerability exists?that could allow an attacker to execute arbitrary code on the targeted system by sending a specifically crafted packet to the application.

EPSS

Процентиль: 57%

0.00351

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2