BDU:2024-09889

Опубликовано: 18 нояб. 2024

Источник: fstec

CVSS3: 8.8

CVSS2: 9

EPSS Низкий

Описание

Уязвимость службы CODESYS V3 микропрограммного обеспечения контроллеров WAGO связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный доступ к контроллеру или вызвать отказ в обслуживании

Вендор

WAGO Kontakttechnik GmbH & Co. KG

Наименование ПО

WAGO Compact Controller CC100

WAGO Edge Controller

WAGO PFC100 G1

WAGO PFC100 G2

WAGO PFC200 G1

WAGO PFC200 G2

WAGO Touch Panel 600

Версия ПО

до 4.5.10 (FW27) включительно (WAGO Compact Controller CC100)

до 4.5.10 (FW27) включительно (WAGO Edge Controller)

до 3.10.11 (WAGO PFC100 G1)

до 4.5.10 (FW27) включительно (WAGO PFC100 G2)

до 3.10.11 (WAGO PFC200 G1)

до 4.5.10 (FW27) включительно (WAGO PFC200 G2)

до 4.5.10 (FW27) включительно (WAGO Touch Panel 600)

Тип ПО

Средство АСУ ТП

Микропрограммный код

ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.

В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

- использование средств межсетевого экранирования для ограничения удалённого доступа к контроллеру;

- отключение/удаление неиспользуемых учётных записей пользователей;

- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;

- ограничение доступа к контроллеру из внешних сетей (Интернет);

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций:

Обновление прошивки до версии 28

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://certvde.com/en/advisories/VDE-2024-047/

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-41969
CVE

EPSS

Процентиль: 75%

0.00875

Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2024-41969

CVSS3: 8.8

nvd

около 1 года назад

A low privileged remote attacker may modify the configuration of the CODESYS V3 service through a missing authentication vulnerability which could lead to full system access and/or DoS.

GHSA-522h-49x4-xq7r

CVSS3: 8.8

github

около 1 года назад

A low privileged remote attacker may modify the configuration of the CODESYS V3 service through a missing authentication vulnerability which could lead to full system access and/or DoS.

EPSS

Процентиль: 75%

0.00875

Низкий

8.8 High

CVSS3

9 Critical

CVSS2