Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-01288

Опубликовано: 13 фев. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость программных средств оптимизации производственных процессов Location Intelligence Perpetual Large, Perpetual Medium, Perpetual Non-Prod, Perpetual Small, SUS Large, SUS Medium, SUS Non-Prod, SUS Small связана с использованием предустановленных учётных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный доступ к программному средству

Вендор

Siemens AG

Наименование ПО

Location Intelligence Perpetual Large (9DE5110-8CA13-1AX0)
Location Intelligence Perpetual Medium (9DE5110-8CA12-1AX0)
Location Intelligence Perpetual Non-Prod (9DE5110-8CA10-1AX0)
Location Intelligence Perpetual Small (9DE5110-8CA11-1AX0)
Location Intelligence SUS Large (9DE5110-8CA13-1BX0)
Location Intelligence SUS Medium (9DE5110-8CA12-1BX0)
Location Intelligence SUS Non-Prod (9DE5110-8CA10-1BX0)
Location Intelligence SUS Small (9DE5110-8CA11-1BX0)

Версия ПО

до 4.3 (Location Intelligence Perpetual Large (9DE5110-8CA13-1AX0))
до 4.3 (Location Intelligence Perpetual Medium (9DE5110-8CA12-1AX0))
до 4.3 (Location Intelligence Perpetual Non-Prod (9DE5110-8CA10-1AX0))
до 4.3 (Location Intelligence Perpetual Small (9DE5110-8CA11-1AX0))
до 4.3 (Location Intelligence SUS Large (9DE5110-8CA13-1BX0))
до 4.3 (Location Intelligence SUS Medium (9DE5110-8CA12-1BX0))
до 4.3 (Location Intelligence SUS Non-Prod (9DE5110-8CA10-1BX0))
до 4.3 (Location Intelligence SUS Small (9DE5110-8CA11-1BX0))

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к программным средствам;
- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;
- ограничение доступа к программному средству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://cert-portal.siemens.com/productcert/html/ssa-580228.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 83%
0.01914
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-23816

CVSS3: 9.8
nvd
почти 2 года назад

A vulnerability has been identified in Location Intelligence Perpetual Large (9DE5110-8CA13-1AX0) (All versions < V4.3), Location Intelligence Perpetual Medium (9DE5110-8CA12-1AX0) (All versions < V4.3), Location Intelligence Perpetual Non-Prod (9DE5110-8CA10-1AX0) (All versions < V4.3), Location Intelligence Perpetual Small (9DE5110-8CA11-1AX0) (All versions < V4.3), Location Intelligence SUS Large (9DE5110-8CA13-1BX0) (All versions < V4.3), Location Intelligence SUS Medium (9DE5110-8CA12-1BX0) (All versions < V4.3), Location Intelligence SUS Non-Prod (9DE5110-8CA10-1BX0) (All versions < V4.3), Location Intelligence SUS Small (9DE5110-8CA11-1BX0) (All versions < V4.3). Affected products use a hard-coded secret value for the computation of a Keyed-Hash Message Authentication Code. This could allow an unauthenticated remote attacker to gain full administrative access to the application.

github логотип

GHSA-fh4v-qfgj-jxxw

CVSS3: 9.8
github
почти 2 года назад

A vulnerability has been identified in Location Intelligence Perpetual Large (9DE5110-8CA13-1AX0) (All versions < V4.3), Location Intelligence Perpetual Medium (9DE5110-8CA12-1AX0) (All versions < V4.3), Location Intelligence Perpetual Non-Prod (9DE5110-8CA10-1AX0) (All versions < V4.3), Location Intelligence Perpetual Small (9DE5110-8CA11-1AX0) (All versions < V4.3), Location Intelligence SUS Large (9DE5110-8CA13-1BX0) (All versions < V4.3), Location Intelligence SUS Medium (9DE5110-8CA12-1BX0) (All versions < V4.3), Location Intelligence SUS Non-Prod (9DE5110-8CA10-1BX0) (All versions < V4.3), Location Intelligence SUS Small (9DE5110-8CA11-1BX0) (All versions < V4.3). Affected products use a hard-coded secret value for the computation of a Keyed-Hash Message Authentication Code. This could allow an unauthenticated remote attacker to gain full administrative access to the application.

EPSS

Процентиль: 83%
0.01914
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2