BDU:2024-04538

Опубликовано: 11 июн. 2024

Источник: fstec

CVSS3: 8.2

CVSS2: 8.5

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения программируемого логического контроллера SIMATIC S7-200 SMART связана с использованием недостаточно случайных значений. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, предсказать ID-IP порядковые номера и вызвать отказ в обслуживании

Вендор

Siemens AG

Наименование ПО

SIMATIC S7-200 SMART CPU CR40

SIMATIC S7-200 SMART CPU CR60

SIMATIC S7-200 SMART CPU SR20

SIMATIC S7-200 SMART CPU SR30

SIMATIC S7-200 SMART CPU SR40

SIMATIC S7-200 SMART CPU SR60

SIMATIC S7-200 SMART CPU ST20

SIMATIC S7-200 SMART CPU ST30

SIMATIC S7-200 SMART CPU ST40

SIMATIC S7-200 SMART CPU ST60

Версия ПО

- (SIMATIC S7-200 SMART CPU CR40)

- (SIMATIC S7-200 SMART CPU CR60)

- (SIMATIC S7-200 SMART CPU SR20)

- (SIMATIC S7-200 SMART CPU SR30)

- (SIMATIC S7-200 SMART CPU SR40)

- (SIMATIC S7-200 SMART CPU SR60)

- (SIMATIC S7-200 SMART CPU ST20)

- (SIMATIC S7-200 SMART CPU ST30)

- (SIMATIC S7-200 SMART CPU ST40)

- (SIMATIC S7-200 SMART CPU ST60)

Тип ПО

Программное средство АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- использование средств межсетевого экранирования для ограничения удалённого доступа;

- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;

- ограничение доступа из внешних сетей (Интернет);

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:

https://cert-portal.siemens.com/productcert/html/ssa-481506.html

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

https://cert-portal.siemens.com/productcert/html/ssa-481506.html

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-35292
CVE

EPSS

Процентиль: 51%

0.0028

Низкий

8.2 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

CVE-2024-35292

CVSS3: 8.2

nvd

больше 1 года назад

A vulnerability has been identified in SIMATIC S7-200 SMART CPU CR40 (6ES7288-1CR40-0AA0) (All versions), SIMATIC S7-200 SMART CPU CR60 (6ES7288-1CR60-0AA0) (All versions), SIMATIC S7-200 SMART CPU SR20 (6ES7288-1SR20-0AA0) (All versions), SIMATIC S7-200 SMART CPU SR20 (6ES7288-1SR20-0AA1) (All versions), SIMATIC S7-200 SMART CPU SR30 (6ES7288-1SR30-0AA0) (All versions), SIMATIC S7-200 SMART CPU SR30 (6ES7288-1SR30-0AA1) (All versions), SIMATIC S7-200 SMART CPU SR40 (6ES7288-1SR40-0AA0) (All versions), SIMATIC S7-200 SMART CPU SR40 (6ES7288-1SR40-0AA1) (All versions), SIMATIC S7-200 SMART CPU SR60 (6ES7288-1SR60-0AA0) (All versions), SIMATIC S7-200 SMART CPU SR60 (6ES7288-1SR60-0AA1) (All versions), SIMATIC S7-200 SMART CPU ST20 (6ES7288-1ST20-0AA0) (All versions), SIMATIC S7-200 SMART CPU ST20 (6ES7288-1ST20-0AA1) (All versions), SIMATIC S7-200 SMART CPU ST30 (6ES7288-1ST30-0AA0) (All versions), SIMATIC S7-200 SMART CPU ST30 (6ES7288-1ST30-0AA1) (All versions), SIMATIC S7-200 SMART CP

GHSA-5v9v-hvfp-8rmv

CVSS3: 8.2

github

больше 1 года назад

EPSS

Процентиль: 51%

0.0028

Низкий

8.2 High

CVSS3

8.5 High

CVSS2