Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00519

Опубликовано: 18 янв. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость компонета хранения, нормализации, анализа и уведомлений данных AVEVA PI Server в режиме реального времени связана с некорректной обработкой исключительных состояний. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

AVEVA Software, LLC

Наименование ПО

PI Server

Версия ПО

2023 (PI Server)
до 2018 SP3 P05 включительно (PI Server)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- установление настройки PI Message Subsystem на автоматический перезапуск;
- отслеживание использования памяти PI Message Subsystem;
- ограничение сетевого доступа к 5450 порту доверенными рабочими станциями и программного обеспечения;
- ограничение возможности на запись в журнал сообщений PI Server только авторизованными пользователями путём настройки записи PIMSGSS в подключаемом модуле Database Security, доступном через PI System Management Tools;
- сегментирование сети для ограничения доступа к промышленному оборудованию;
- ограничение доступа из внешних сетей (Интернет);
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://www.aveva.com/content/dam/aveva/documents/support/cyber-security-updates/Security_Bulletin_AVEVA-2024-001.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 48%
0.00246
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-34348

CVSS3: 7.5
nvd
около 2 лет назад

AVEVA PI Server versions 2023 and 2018 SP3 P05 and prior contain a vulnerability that could allow an unauthenticated user to remotely crash the PI Message Subsystem of a PI Server, resulting in a denial-of-service condition.

github логотип

GHSA-fh7p-wmpj-pqf7

CVSS3: 7.5
github
около 2 лет назад

AVEVA PI Server versions 2023 and 2018 SP3 P05 and prior contain a vulnerability that could allow an unauthenticated user to remotely crash the PI Message Subsystem of a PI Server, resulting in a denial-of-service condition.

EPSS

Процентиль: 48%
0.00246
Низкий

7.5 High

CVSS3

7.8 High

CVSS2