Описание
Уязвимость веб-сервера CODESYS среды выполнения CODESYS Control связана с недостаточной проверкой необычных или исключительных состояний. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании путём отправки специально сформированного TLS-пакета
Вендор
CODESYS GmbH
Наименование ПО
CODESYS Control RTE (SL)
CODESYS Control RTE (for Beckhoff CX) SL
CODESYS Control Win (SL)
CODESYS HMI (SL)
CODESYS Runtime Toolkit
CODESYS Embedded Target Visu Toolkit
CODESYS Remote Target Visu Toolkit
CODESYS Control for BeagleBone SL
CODESYS Control for emPC-A/iMX6 SL
CODESYS Control for IOT2000 SL
CODESYS Control for Linux SL
CODESYS Control for Linux ARM SL
CODESYS Control for PFC100 SL
CODESYS Control for PFC200 SL
CODESYS Control for PLCnext SL
CODESYS Control for Raspberry Pi SL
CODESYS Control for WAGO Touch Panels 600 SL
CODESYS Virtual Control SL
Версия ПО
до 3.5.20.30 (CODESYS Control RTE (SL))
до 3.5.20.30 (CODESYS Control RTE (for Beckhoff CX) SL)
до 3.5.20.30 (CODESYS Control Win (SL))
до 3.5.20.30 (CODESYS HMI (SL))
до 3.5.20.30 (CODESYS Runtime Toolkit)
до 3.5.20.30 (CODESYS Embedded Target Visu Toolkit)
до 3.5.20.30 (CODESYS Remote Target Visu Toolkit)
до 4.14.0.0 (CODESYS Control for BeagleBone SL)
до 4.14.0.0 (CODESYS Control for emPC-A/iMX6 SL)
до 4.14.0.0 (CODESYS Control for IOT2000 SL)
до 4.14.0.0 (CODESYS Control for Linux SL)
до 4.14.0.0 (CODESYS Control for Linux ARM SL)
до 4.14.0.0 (CODESYS Control for PFC100 SL)
до 4.14.0.0 (CODESYS Control for PFC200 SL)
до 4.14.0.0 (CODESYS Control for PLCnext SL)
до 4.14.0.0 (CODESYS Control for Raspberry Pi SL)
до 4.14.0.0 (CODESYS Control for WAGO Touch Panels 600 SL)
до 4.14.0.0 (CODESYS Virtual Control SL)
Тип ПО
Программное средство АСУ ТП
ПО программно-аппаратного средства АСУ ТП
Средство АСУ ТП
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- сегментирование сети для ограничения доступа к промышленному оборудованию;
- ограничение доступа из внешних сетей (Интернет) к промышленному оборудованию;
- использование средств межсетевого экранирования для фильтрации TLS-пакетов;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
https://customers.codesys.com/index.php?eID=dumpFile&t=f&f=18604&token=d5e1e2820ee63077b875b3bb41014b1f102e88a3&download=
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 78%
0.01159
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
nvd
больше 1 года назад
An unauthenticated remote attacker can causes the CODESYS web server to access invalid memory which results in a DoS.
CVSS3: 7.5
github
больше 1 года назад
An unauthenticated remote attacker can causes the CODESYS web server to access invalid memory which results in a DoS.
EPSS
Процентиль: 78%
0.01159
Низкий
7.5 High
CVSS3
7.8 High
CVSS2