BDU:2024-02209

Опубликовано: 12 мар. 2024

Источник: fstec

CVSS3: 4.6

CVSS2: 4.9

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения многофункциональных измерительных приборов измерения параметров электрических сетей Siemens SENTRON 7KM PAC связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю обойти существующие ограничения безопасности и получить несанкционированный доступ к защищаемой информации

Вендор

Siemens AG

Наименование ПО

Siemens SENTRON 7KM PAC3120 AC/DC

Siemens SENTRON 7KM PAC3120 DC

Siemens SENTRON 7KM PAC3220 AC/DC

Siemens SENTRON 7KM PAC3220 DC

Версия ПО

от 3.2.3 до 3.3.0 (Siemens SENTRON 7KM PAC3120 AC/DC)

от 3.2.3 до 3.3.0 (Siemens SENTRON 7KM PAC3120 DC)

от 3.2.3 до 3.3.0 (Siemens SENTRON 7KM PAC3220 AC/DC)

от 3.2.3 до 3.3.0 (Siemens SENTRON 7KM PAC3220 DC)

Тип ПО

ПО программно-аппаратного средства АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,6)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- ограничение доступа к оборудованию из общедоступных сетей (Интернет);

- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;

- сегментирование сети с целью ограничения доступа к оборудованию из других подсетей;

- использование виртуальных частных сетей для организации удаленного доступа (VPN)

Организационные меры:

- ограничение физического доступа неавторизованного персонала к промышленному оборудованию

Использование рекомендаций производителя:

https://cert-portal.siemens.com/productcert/html/ssa-792319.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 24%

0.00084

Низкий

4.6 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

CVE-2024-21483

CVSS3: 4.6

nvd

почти 2 года назад

A vulnerability has been identified in SENTRON 7KM PAC3120 AC/DC (7KM3120-0BA01-1DA0) (All versions >= V3.2.3 < V3.2.4 only when manufactured between LQN231003... and LQN231215... ( with LQNYYMMDD...)), SENTRON 7KM PAC3120 DC (7KM3120-1BA01-1EA0) (All versions >= V3.2.3 < V3.2.4 only when manufactured between LQN231003... and LQN231215... ( with LQNYYMMDD...)), SENTRON 7KM PAC3220 AC/DC (7KM3220-0BA01-1DA0) (All versions >= V3.2.3 < V3.2.4 only when manufactured between LQN231003... and LQN231215... ( with LQNYYMMDD...)), SENTRON 7KM PAC3220 DC (7KM3220-1BA01-1EA0) (All versions >= V3.2.3 < V3.2.4 only when manufactured between LQN231003... and LQN231215... ( with LQNYYMMDD...)). The read out protection of the internal flash of affected devices was not properly set at the end of the manufacturing process. An attacker with physical access to the device could read out the data.

GHSA-cc9x-2646-xv35

CVSS3: 4.6

github

почти 2 года назад

A vulnerability has been identified in SENTRON 7KM PAC3120 AC/DC (7KM3120-0BA01-1DA0) (All versions >= V3.2.3 < V3.3.0 only when manufactured between LQN231003... and LQN231215... ( with LQNYYMMDD...)), SENTRON 7KM PAC3120 DC (7KM3120-1BA01-1EA0) (All versions >= V3.2.3 < V3.3.0 only when manufactured between LQN231003... and LQN231215... ( with LQNYYMMDD...)), SENTRON 7KM PAC3220 AC/DC (7KM3220-0BA01-1DA0) (All versions >= V3.2.3 < V3.3.0 only when manufactured between LQN231003... and LQN231215... ( with LQNYYMMDD...)), SENTRON 7KM PAC3220 DC (7KM3220-1BA01-1EA0) (All versions >= V3.2.3 < V3.3.0 only when manufactured between LQN231003... and LQN231215... ( with LQNYYMMDD...)). The read out protection of the internal flash of affected devices was not properly set at the end of the manufacturing process. An attacker with physical access to the device could read out the data.

EPSS

Процентиль: 24%

0.00084

Низкий

4.6 Medium

CVSS3

4.9 Medium

CVSS2