Описание
Уязвимость микропрограммного обеспечения программируемых логических контроллеров Unitronics Vision связана с хранением паролей в восстанавливаемом формате. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить пароль «Информационного режима» (Information Mode) в виде открытого текста
Вендор
Unitronics
Наименование ПО
Unitronics Vision 230
Unitronics Vision 280
Unitronics Vision 290
Unitronics Vision 530
Unitronics Vision 120
Версия ПО
- (Unitronics Vision 230)
- (Unitronics Vision 280)
- (Unitronics Vision 290)
- (Unitronics Vision 530)
- (Unitronics Vision 120)
Тип ПО
ПО программно-аппаратного средства АСУ ТП
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- изменение пароля "Информационного режима" (Information Mode) по умолчанию с помощью SI 253;
- реализация многофакторного доступа к ПЛК с помощью SB 314;
- применение многофакторной VPN для защиты службы от удаленного доступа;
- ограничение доступа к ПЛК по протоколу TCP/20256, либо путем изменения порта программатора по умолчанию, либо путем применения многофакторной VPN для защиты службы от удаленного доступа;
- ограничение доступа к оборудованию из общедоступных сетей (Интернет);
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- сегментирование сети с целью ограничения доступа к оборудованию из других подсетей.
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимостей
- CVE
- ICSA
EPSS
Процентиль: 30%
0.00113
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
nvd
почти 2 года назад
Unitronics Vision Standard line of controllers allow the Information Mode password to be retrieved without authentication.
CVSS3: 7.5
github
почти 2 года назад
Unitronics Vision Standard line of controllers allow the Information Mode password to be retrieved without authentication.
EPSS
Процентиль: 30%
0.00113
Низкий
7.5 High
CVSS3
7.8 High
CVSS2