Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-09313

Опубликовано: 10 сент. 2024
Источник: fstec
CVSS3: 8.8
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость программного обеспечения программируемых логических контроллеров Siemens Sinumerik связана с неправильным присвоением разрешений для выполняемых системой скриптов. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Вендор

Siemens AG

Наименование ПО

SINUMERIK ONE
Siemens Sinumerik 828D
Siemens Sinumerik 840D sl

Версия ПО

до 6.24 (SINUMERIK ONE)
до 5.24 (Siemens Sinumerik 828D)
- (Siemens Sinumerik 840D sl)

Тип ПО

Средство АСУ ТП
ПО программно-аппаратного средства АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://cert-portal.siemens.com/productcert/html/ssa-342438.html
Компенсируюшие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа;
- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 13%
0.00044
Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-41171

CVSS3: 8.8
nvd
больше 1 года назад

A vulnerability has been identified in SINUMERIK 828D V4 (All versions), SINUMERIK 828D V5 (All versions < V5.24), SINUMERIK 840D sl V4 (All versions), SINUMERIK ONE (All versions < V6.24). Affected devices do not properly enforce access restrictions to scripts that are regularly executed by the system with elevated privileges. This could allow an authenticated local attacker to escalate their privileges in the underlying system.

github логотип

GHSA-vp7w-7655-3xph

CVSS3: 8.8
github
больше 1 года назад

A vulnerability has been identified in SINUMERIK 828D V4 (All versions), SINUMERIK 828D V5 (All versions < V5.24), SINUMERIK 840D sl V4 (All versions), SINUMERIK ONE (All versions < V6.24). Affected devices do not properly enforce access restrictions to scripts that are regularly executed by the system with elevated privileges. This could allow an authenticated local attacker to escalate their privileges in the underlying system.

EPSS

Процентиль: 13%
0.00044
Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2