Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-326
Inadequate Encryption Strength
The product stores or transmits sensitive data using an encryption scheme that is theoretically sound, but is not strong enough for the level of protection required.
| Тип уязвимости: | Не зависит от других уязвимостей |
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2015-00125 | Уязвимость программного обеспечения Cisco ACE, позволяющая злоумышленнику перехватить сессию |
| BDU:2015-00126 | Уязвимость программного обеспечения Cisco ASA, позволяющая злоумышленнику перехватить сессию |
| BDU:2015-00127 | Уязвимость программного обеспечения Cisco IPS, позволяющая злоумышленнику перехватить сессию |
| BDU:2015-00128 | Уязвимость программного обеспечения Cisco Unified Communications Manager, позволяющая злоумышленнику перехватить сессию |
| BDU:2015-07477 | Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-07482 | Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-07483 | Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-07485 | Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2017-00438 | Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю обойти криптографические механизмы защиты |
| BDU:2017-00445 | Уязвимость операционной системы iOS, позволяющая нарушителю облегчить процедуру дешифровки файлов |
| BDU:2017-00918 | Уязвимость операционной системы iOS, позволяющая нарушителю обходить криптографические механизмы защиты |
| BDU:2017-01939 | Уязвимость операционной системы Android из репозитория CAF, существующая из-за недостаточно стойкого шифрования данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2017-01947 | Уязвимость компонента Full Disk Encryption операционной системы Android из репозитория CAF, позволяющая нарушителю вызвать откат системы |
| BDU:2018-01003 | Уязвимость реализации протокола IKE операционных систем Cisco IOS и Cisco IOS XE, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2018-01004 | Уязвимость реализации протокола IKE сетевых устройств ZyXEL USG, ZyXEL USG VPN, ZyWALL и ZyWALL VPN, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2018-01460 | Уязвимость службы управления идентификацией системы управления сетью Cisco Digital Network Architecture (DNA) Center, позволяющая нарушителю обойти процедуру аутентификации и получить контроль над функциями управления идентификацией |
| BDU:2019-02762 | Уязвимость функции net_hash_mix () ядра операционной системы Linux, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-02915 | Уязвимость хеш-функции "jhash" ядра операционной системы Linux, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-03722 | Уязвимость реализации сетевого протокола NTLMv2 операционных систем Windows, позволяющая нарушителю осуществить атаку типа "человек посередине" |
| BDU:2020-00096 | Уязвимость программ просмотра и редактирования PDF-файлов Adobe Acrobat Document Cloud и Adobe Acrobat Reader Document Cloud, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю обойти существующие механизмы защиты в контексте... |
| BDU:2020-00972 | Уязвимость веб-интерфейса сетевых коммутаторов Belden Hirschmann серий RS, RSR, RSB, MACH100, MACH1000, MACH4000, MS и OCTOPUS, позволяющая нарушителю осуществить атаку типа "человек посередине" |
| BDU:2020-02117 | Уязвимость программного средства Telerik UI для ASP.NET AJAX, связанная с недостатками шифрования RadAsyncUpload, позволяющая нарушителю выполнять произвольную загрузку файлов или выполнить произвольный код |
| BDU:2020-03067 | Уязвимость компонента SharePort Web Access микропрограммного обеспечения маршрутизатора D-Link DIR-865L, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2020-05287 | Уязвимость в подсистеме микропрограммного обеспечения Intel Converged Security and Manageability Engine (CSME), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-05690 | Уязвимость функции sftunnel межсетевых экранов Cisco Firepower Management Center (FMC) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю получить хэш регистрации устройства |
| BDU:2020-05807 | Уязвимость сервера приложений Wildfly, связанная с недостаточной обработкой исключительных состояний, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2021-00434 | Уязвимость веб-сервера Oracle iPlanet, связанная с доступом для чтения к ключам шифрования без аутентификации, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-00873 | Уязвимость реализации библиотеки OpenSSL, связанная с недостаточной стойкостью шифрования, позволяющая нарушителю перехватить все зашифрованные сообщения, отправленные через соединение TLS |
| BDU:2021-01195 | Уязвимость реализации протоколов WPA/WPA2 операционных систем Fortinet FortiOS и микропрограммного обеспечения точек доступа Fortinet FortiAP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01604 | Уязвимость микропрограммного обеспечения многофункционального устройства Xerox AltaLink, связанная с недостаточной стойкостью шифрования, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-01637 | Уязвимость реализации протокола NSDP микропрограммного обеспечения сетевых устройств Netgear ProSafe Plus JGS516PE и ProSAFE Plus GS116Ev2, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-01912 | Уязвимость функции openssl_encrypt() языка программирования php, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2021-02137 | Уязвимость оптических линейных терминалов CDATA 72408A, 9008A, 9016A, 92408A, 92416A, 9288, 97016, 97024P, 97028P, 97042P, 97084P, 97168P, FD1002S, FD1104, FD1104B, FD1104S, FD1104SN, FD1108S, FD1204S-R2, FD1204SN, FD1204SN-R2, FD1208S-R2, FD1216S-R1... |
| BDU:2021-02828 | Уязвимость менеджера паролей Kaspersky Password Manager, связанная с недостаточной стойкостью шифрования, позволяющая нарушителю обходить криптографические механизмы защиты |
| BDU:2021-03088 | Уязвимость реализации алгоритмов WPA, WPA2 и WPA3 набора стандартов связи для коммуникации IEEE 802.11, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2021-03194 | Уязвимость функции str_rot_pass веб-прокси скрипта PHP-Proxy, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-03521 | Уязвимость микропрограммного обеспечения программно-аппаратных средств машинного зрения SICK Visionary-S CX, связанная с недостаточной стойкостью шифрования, позволяющая нарушителю раскрыть защищаемую информацию и провести атаки типа "злоумышленник в... |
| BDU:2021-03895 | Уязвимость системы защиты электронной почты FortiMail, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-04136 | Уязвимость реализации протокола S/MIME почтового клиента Thunderbird, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04145 | Уязвимость SSH-сервера операционной системы ОС РОСА КОБАЛЬТ, связанная с использованием слабых алгоритмов шифрования (таких как RC4 и Blowfish), позволяющая нарушителю обходить криптографические механизмы защиты |
| BDU:2021-04207 | Уязвимость библиотеки Eclipse TinyDTLS, связанная с ошибками в коде генератора псевдослучайных чисел, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-04281 | Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M221, M100, M200, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю получить ключ шифрования |
| BDU:2021-05678 | Уязвимость CMS-системы DNN, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-05679 | Уязвимость CMS-системы DNN, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-06280 | Уязвимость системы сбора и анализа событий безопасности IBM QRadar SIEM, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-00366 | Уязвимость микропрограммного обеспечения Wi-Fi роутеров NETGEAR D7000v2, D8500, EX3700, EX3800, EX6120 и EX6130, связанная с ошибками дешифрования трафика, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-00986 | Уязвимость компонента WebSockets API приложения контроля лицензий CodeMeter, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-02026 | Уязвимость компонента Server: Security: Encryption системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-03751 | Уязвимость реализации протокола S-Bus микропрограммного обеспечения программируемых логических контроллеров PCD controllers, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-03762 | Уязвимость реализации протокола Motorola Data Link Communication (MDLC), связанная с использованием блочного шифрования Tiny Encryption Algorithm (TEA) в режиме ECB, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-03840 | Уязвимость промышленных рабочих станций Emerson DeltaV, связанная с использованием криптографических алгоритмов, содержащих дефекты, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-03843 | Уязвимость промышленных рабочих станций Emerson DeltaV, связанная с использованием криптографических алгоритмов, содержащих дефекты, позволяющая нарушителю получить доступ к интерфейсу системы управления |
| BDU:2022-03844 | Уязвимость реализации протокола BSAP/IP контроллера телемеханики ControlWave и контроллера Bristol Babcock 33xx, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-03846 | Уязвимость реализации протокола BSAP/IP контроллера телемеханики ControlWave и контроллера Bristol Babcock 33xx, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-03847 | Уязвимость реализации протокола BSAP/IP контроллера телемеханики ControlWave и контроллера Bristol Babcock 33xx, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-04710 | Уязвимость микропрограммного обеспечения промышленного программно-аппаратного оборудования General Electric Renewable Energy iNET и iNET II, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю скомпрометировать целевую систему |
| BDU:2022-04770 | Уязвимость пакета офисных программ LibreOffice, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2022-04785 | Уязвимость базы данных конфигураций пользователя пакета офисных программ LibreOffice, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-04927 | Уязвимость программного обеспечения продуктов Siemens SIMATIC, связанная с утечкой информации о файлах и каталогах, позволяющая нарушителю получить учетные данные |
| BDU:2022-06265 | Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager (AEM), связанная с нарушением принципов безопасного проектирования, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защища... |
| BDU:2022-06786 | Уязвимость реализации протокола Kerberos операционных систем Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-00022 | Уязвимость реализации протокола Heimdal Kerberos пакета программ сетевого взаимодействия Samba, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-00226 | Уязвимость программного средства управления клиентскими данными SAP Customer Data Cloud, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-00472 | Уязвимость микропрограммного обеспечения маршрутизаторов InHand Networks InRouter302, связанная с использованием жестко закодированного криптографического ключа, позволяющая нарушителю повысить свои привилегии и раскрыть защищаемую информацию |
| BDU:2023-00771 | Уязвимость механизма генерации ключа сброса пользовательского пароля системы автоматизации образования Апекс-ВУЗ, позволяющая нарушителю получить пароль пользователя |
| BDU:2023-01658 | Уязвимость программы для шифрования информации и создания электронных цифровых подписей GnuPG, связанная с слабым шифрованием, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-01751 | Уязвимость механизма формирования очередей для буферизации кадров реализации технологии буферизации Wi-Fi-пакетов, связанная с использованием слабого шифрования, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2023-02829 | Уязвимость сетевой камеры для наблюдения D-Link 825L|, связанная с использованием слабого механизма шифрования, позволяющая нарушителю выполнить атаку "человек посередине" (MITM) |
| BDU:2023-03082 | Уязвимость реализации прикладного программного интерфейса платформы для централизованного управления приложениямия Rockwell Automation ThinManager, связанная с недостаточной стойкостью шифрования, позволяющая нарушителю скомпрометировать целевую сист... |
| BDU:2023-03765 | Уязвимость реализации протокола TLS Java-фреймворка Quarkus, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-04076 | Уязвимость программного средства для управления производственными процессами ABB eSOMS, связанная с использованием слабого механизма шифрования, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-05017 | Уязвимость операционной системы QTS сетевых хранилищ QNAP, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным |
| BDU:2023-05894 | Уязвимость веб-браузера Firefox, связанная с слабым шифрованием, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2023-06358 | Уязвимость модуля сообщений оболочки EMUI операционной системы HarmonyOS, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2023-06504 | Уязвимость микропрограммного обеспечения платформ маршрутизации и коммутации RUGGEDCOM ROX MX5000, RUGGEDCOM ROX MX5000RE и RUGGEDCOM ROX RX1400, связанная с использованием слабого шифрования, позволяющая нарушителю выполнить атаку типа "человек посе... |
| BDU:2023-07908 | Уязвимость реализации криптографического алгоритма SHA-1 браузера Google Chrome, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2023-08267 | Уязвимость реализации подключений Secure Connections Pairing и Secure Simple Pairing спецификации Bluetooth Core Specification, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2023-08590 | Уязвимость беспроводной клавиатуры Acer Wireless Keyboard SK-9662, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю расшифровывать нажатия клавиш или внедрить произвольные нажатия клавиш |
| BDU:2023-08656 | Уязвимость SSH-сервера промышленных коммутаторов Siemens SCALANCE, позволяющая нарушителю реализовать атаку "человек посередине" |
| BDU:2023-09070 | Уязвимость универсальной системы мониторинга Zabbix, связанная с слабым шифрованием, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-00854 | Уязвимость микропрограммного обеспечения поточных газоанализаторов Emerson Rosemount X-STREAM, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-02112 | Уязвимость программного средства контроля использования съемных носителей информации USB Pratirodh, связанная с недостаточной стойкостью шифрования, позволяющая нарушителю получить пароль пользователя |
| BDU:2024-03170 | Уязвимость операционной системы PAN-OS, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю выполнить атаку типа "человек посередине" и получить несанкционированный доступ к защищаемой информации |
| BDU:2024-03448 | Уязвимость компонента FileTransfer программного обеспечение для управления сетью SAN Brocade SANnav, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2024-05286 | Уязвимость SCADA-системы "ЭНТЕК", связанная с использованием криптографических алгоритмов, содержащих дефекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05600 | Уязвимость компонента TLS/SSL программного обеспечение для управления сетью SAN Brocade SANnav, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2024-05902 | Уязвимость устройств релейной защиты SIPROTEC, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю проводить атаки типа "человек по середине" |
| BDU:2024-06479 | Уязвимость программного обеспечения exacqVision Client и exacqVision Server, связанная с недостаточно стойким шифрованием данных, получить несанкционированный доступ к защищаемой информации |
| BDU:2024-06542 | Уязвимость библиотеки анализа и кодирования JSON aeson, связанная с недостаточной стойкостью шифрования, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-06779 | Уязвимость компонента KV Service системы управления базами данных класса NoSQL Couchbase Server, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-08592 | Уязвимость программного обеспечения СКУД Gate, связанная с использованием слабого алгоритма шифрования, позволяющая нарушитель расшифровать пароль пользователя |
| BDU:2024-08819 | Уязвимость микропрограммного обеспечения маршрутизаторов DrayTek Vigor, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю раскрыть защищаемую информацию и выполнить атаку "человек посередине" (MITM) |
| BDU:2024-09081 | Уязвимость программных средств оптимизации производственных процессов Location Intelligence, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-10290 | Уязвимость сервера приложений Apache Tomcat, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2024-10295 | Уязвимость сервера приложений Apache Tomcat, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-00815 | Уязвимость команды build-ca утилиты управления сертификатами Easy-RSA, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-01155 | Уязвимость программного средства централизованного управления активами FactoryTalk AssetCentre, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-05904 | Уязвимость микропрограммного обеспечения контроллеров APOGEE PXC, TALON TC, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06511 | Уязвимость реализации протокола TLS программного обеспечения защиты данных Acronis Cyber Protect 16, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-08451 | Уязвимость служб Cryptographic Services операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-09710 | Уязвимость прокси-сервера IBM Sterling Secure Proxy, связанная с использованием слабых паролей, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-12705 | Уязвимость функции l2cap_connect() модуля net/bluetooth/l2cap_core.c ядра операционной системы Linux, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-13257 | Уязвимость программных платформ Microsoft .NET Framework, .NET и средства разработки программного обеспечения Microsoft Visual Studio, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-14653 | Уязвимость функции memcmp() программного обеспечения OpenVPN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-16460 | Уязвимость микропрограммного обеспечения модуля автоматизации Sprecher SPRECON-E, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00362 | Уязвимость компонента User Management Engine (UME) сервера веб-приложений SAP NetWeaver Java Application Server, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00769 | Уязвимость модульной системы охранной сигнализации Bosch MAP 5000, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и получить контроль над системой |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2014-2380 | Schneider Electric Wonderware Inadequate Encryption Strength |
| CVE-2014-2381 | Schneider Electric Wonderware Inadequate Encryption Strength |
| CVE-2014-9199 | Clorius Controls A/S ISC SCADA Insecure Java Client Inadequate Encryption Strength |
| CVE-2017-9635 | Schneider Electric Ampla MES 6.4 provides capability to configure users and their privileges. When Ampla MES users are config... |
| CVE-2017-9645 | An Inadequate Encryption Strength issue was discovered in Mirion Technologies DMC 3000 Transmitter Module, iPam Transmitter f... |
| CVE-2018-0131 | A vulnerability in the implementation of RSA-encrypted nonces in Cisco IOS Software and Cisco IOS XE Software could allow an... |
| CVE-2018-0448 | Cisco Digital Network Architecture Center Authentication Bypass Vulnerability |
| CVE-2018-16499 | In VOS compromised, an attacker at network endpoints can possibly view communications between an unsuspecting user and the se... |
| CVE-2018-19001 | Philips HealthSuite Health Android App, all versions. The software uses simple encryption that is not strong enough for the l... |
| CVE-2018-4839 | A vulnerability has been identified in DIGSI 4 (All versions < V4.92), EN100 Ethernet module DNP3 variant (All versions < V1.... |
| CVE-2018-5461 | An Inadequate Encryption Strength issue was discovered in Belden Hirschmann RS, RSR, RSB, MACH100, MACH1000, MACH4000, MS, an... |
| CVE-2019-14855 | A flaw was found in the way certificate signatures could be forged using collisions found in the SHA-1 algorithm. An attacker... |
| CVE-2019-18241 | In Philips IntelliBridge EC40 and EC80, IntelliBridge EC40 Hub all versions, and IntelliBridge EC80 Hub all versions, the SSH... |
| CVE-2019-18263 | An issue was found in Philips Veradius Unity, Pulsera, and Endura Dual WAN Router, Veradius Unity (718132) with wireless opti... |
| CVE-2019-19097 | ABB eSOMS: SSL medium strength Cipher Suites |
| CVE-2019-19101 | Incomplete communication encryption and validation in B&R Automation Studio upgrade service |
| CVE-2019-19299 | A vulnerability has been identified in SiNVR/SiVMS Video Server (All versions < V5.0.0), SiNVR/SiVMS Video Server (All versio... |
| CVE-2020-10125 | NCR SelfServ ATMs running APTRA XFS 04.02.01 and 05.01.00 implement 512-bit RSA certificates to validate bunch note acceptor... |
| CVE-2020-10601 | VISAM VBASE Editor version 11.5.0.2 and VBASE Web-Remote Module allow weak hashing algorithm and insecure permissions which m... |
| CVE-2020-10636 | ICSA-20-140-02 Emerson OpenEnterprise |
| CVE-2020-14517 | Protocol encryption can be easily broken for CodeMeter (All versions prior to 6.90 are affected, including Version 6.90 or ne... |
| CVE-2020-16235 | Emerson OpenEnterprise - Inadequate Encryption Strength |
| CVE-2020-1982 | PAN-OS: TLS 1.0 usage for certain communications with Palo Alto Networks cloud delivered services |
| CVE-2020-25685 | A flaw was found in dnsmasq before version 2.83. When getting a reply from a forwarded query, dnsmasq checks in forward.c:rep... |
| CVE-2020-26197 | Dell PowerScale OneFS 8.1.0 - 9.1.0 contains an LDAP Provider inability to connect over TLSv1.2 vulnerability. It may make it... |
| CVE-2020-26263 | RSA vulnerability in tslite-ng |
| CVE-2020-3549 | Cisco Firepower Management Center Software and Firepower Threat Defense Software sftunnel Pass the Hash Vulnerability |
| CVE-2020-4099 | HCL Verse for Android is susceptible to an APK signing key check vulnerability |
| CVE-2020-6966 | In ApexPro Telemetry Server Versions 4.2 and prior, CARESCAPE Telemetry Server v4.2 & prior, Clinical Information Center (CIC... |
| CVE-2020-7565 | A CWE-326: Inadequate Encryption Strength vulnerability exists in Modicon M221 (all references, all versions) that could allo... |
| CVE-2021-20406 | IBM Security Verify Information Queue information disclosure |
| CVE-2021-21387 | Partial secret key disclosure, improper safety number calculation, & inadequate encryption strength |
| CVE-2021-27450 | SSH server configuration file does not implement some best practices. This could lead to a weakening of the SSH protocol stre... |
| CVE-2021-27457 | A vulnerability has been found in multiple revisions of Emerson Rosemount X-STREAM Gas Analyzer. The affected products utiliz... |
| CVE-2021-32010 | Clients may connect to a GateManager with TLS 1.0 |
| CVE-2021-32945 | MDT AutoSave Inadequate Encryption Strength |
| CVE-2021-35226 | Hashed Credential Exposure Vulnerability |
| CVE-2021-36337 | Dell Wyse Management Suite version 3.3.1 and prior support insecure Transport Security Protocols TLS 1.0 and TLS 1.1 which ar... |
| CVE-2021-37209 | A vulnerability has been identified in RUGGEDCOM i800 (All versions < V4.3.8), RUGGEDCOM i801 (All versions < V4.3.8), RUGGED... |
| CVE-2021-38121 | Weak communication protocol identified in Advance Authentication client application |
| CVE-2021-38464 | InHand Networks IR615 Router |
| CVE-2021-40341 | Weak DES encryption |
| CVE-2022-1318 | Hills ComNav Inadequate Encryption Strength |
| CVE-2022-24318 | A CWE-326: Inadequate Encryption Strength vulnerability exists that could cause non-encrypted communication with the server w... |
| CVE-2022-26306 | Execution of Untrusted Macros Due to Improper Certificate Validation |
| CVE-2022-26307 | Weak Master Keys |
| CVE-2022-2640 | The Config-files of Horner Automation’s RCC 972 with firmware version 15.40 are encrypted with weak XOR encryption vulnerable... |
| CVE-2022-2758 | Update |
| CVE-2022-32753 | IBM Security Verify Directory information disclosure |
| CVE-2022-34385 | SupportAssist for Home PCs (version 3.11.4 and prior) and SupportAssist for Business PCs (version 3.2.0 and prior) contain... |
| CVE-2022-4048 | CODESYS V3 prone to Inadequate Encryption Stregth |
| CVE-2022-40745 | IBM Aspera Faspex information disclosure |
| CVE-2022-41209 | SAP Customer Data Cloud (Gigya mobile app for Android) - version 7.4, uses encryption method which lacks proper diffusion and... |
| CVE-2023-1764 | Canon IJ Network Tool/Ver.4.7.5 and earlier (supported OS: OS X 10.9.5-macOS 13),IJ Network Tool/Ver.4.7.3 and earlier (suppo... |
| CVE-2023-21443 | Improper cryptographic implementation in Samsung Flow for Android prior to version 4.9.04 allows adjacent attackers to decryp... |
| CVE-2023-21444 | Improper cryptographic implementation in Samsung Flow for PC 4.9.14.0 allows adjacent attackers to decrypt encrypted messages... |
| CVE-2023-2197 | Vault Enterprise Vulnerable to Padding Oracle Attacks When Using a CBC-based Encryption Mechanism with a HSM |
| CVE-2023-27987 | Apache Linkis gateway module token authentication bypass |
| CVE-2023-28124 | Improper usage of symmetric encryption in UI Desktop for Windows (Version 0.59.1.71 and earlier) could allow users with acces... |
| CVE-2023-29054 | A vulnerability has been identified in SCALANCE X200-4P IRT (All versions < V5.5.2), SCALANCE X201-3P IRT (All versions < V5.... |
| CVE-2023-31135 | Dgraph Audit Log Encryption nonce reuse |
| CVE-2023-3243 | ** UNSUPPORTED WHEN ASSIGNED ** [An attacker can capture an authenticating hash and utilize it to create new sessions. The h... |
| CVE-2023-34337 | Inadequate Encryption Strength |
| CVE-2023-34971 | QTS, QuTS hero |
| CVE-2023-35332 | Windows Remote Desktop Protocol Security Feature Bypass |
| CVE-2023-36748 | A vulnerability has been identified in RUGGEDCOM ROX MX5000 (All versions < V2.16.0), RUGGEDCOM ROX MX5000RE (All versions <... |
| CVE-2023-37397 | IBM Aspera Faspex data manipulation |
| CVE-2023-4129 | Dell Data Protection Central, version 19.9, contains an Inadequate Encryption Strength Vulnerability. An unauthenticated net... |
| CVE-2023-41305 | Vulnerability of 5G messages being sent without being encrypted in a VPN environment in the SMS message module. Successful ex... |
| CVE-2023-4333 | Broadcom RAID Controller web interface doesn’t enforce SSL cipher ordering by server |
| CVE-2024-1224 | Information Disclosure Vulnerability in CDAC USB Pratirodh |
| CVE-2024-13026 | Inadequate Encryption Strength Vulnerability in Roche Algo Edge |
| CVE-2024-13454 | Weak encryption algorithm in Easy-RSA version 3.0.5 through 3.1.7 allows a local attacker to more easily bruteforce the priva... |
| CVE-2024-20692 | Microsoft Local Security Authority Subsystem Service Information Disclosure Vulnerability |
| CVE-2024-21787 | Inadequate encryption strength for some BMRA software before version 22.08 may allow an authenticated user to potentially ena... |
| CVE-2024-21881 | Upload of encrypted packages allows authenticated command execution in Enphase IQ Gateway v4.x and v5.x |
| CVE-2024-23656 | Dex 2.37.0 is discarding TLSconfig and always serves deprecated TLS 1.0/1.1 and insecure ciphers |
| CVE-2024-25102 | Information Disclosure Vulnerability in CDAC AppSamvid Software |
| CVE-2024-28860 | Insecure IPsec transport encryption in Cilium |
| CVE-2024-28974 | Dell Data Protection Advisor, version(s) 19.9, contain(s) an Inadequate Encryption Strength vulnerability. A low privileged a... |
| CVE-2024-29950 | Brocade SANnav before v2.3.1, v2.3.0a uses weak encryption |
| CVE-2024-29951 | Brocade SANnav has weak encryption in internal SSH ports |
| CVE-2024-29969 | TLS/SSL weak message authentication code ciphers are added by default for port 18082 |
| CVE-2024-32758 | exacqVision - Key exchanges |
| CVE-2024-3387 | PAN-OS: Weak Certificate Strength in Panorama Software Leads to Sensitive Information Disclosure |
| CVE-2024-38867 | A vulnerability has been identified in SIPROTEC 5 6MD84 (CP300) (All versions < V9.64), SIPROTEC 5 6MD85 (CP200) (All version... |
| CVE-2024-39928 | Apache Linkis Spark EngineConn: Commons Lang's RandomStringUtils Random string security vulnerability |
| CVE-2024-40719 | CHANGING Information Technology TCBServiSign Windows Version - Inadequate Encryption Strength |
| CVE-2024-40761 | Apache Answer: Avatar URL leaked user email addresses |
| CVE-2024-41681 | A vulnerability has been identified in Location Intelligence family (All versions < V4.4). The web server of affected product... |
| CVE-2024-42163 | Password Manipulation |
| CVE-2024-42177 | HCL MyXalytics is affected by SSL∕TLS Protocol affected with BREACH & LUCKY13 vulnerabilities |
| CVE-2024-45719 | Apache Answer: Predictable Authorization Token Using UUIDv1 |
| CVE-2024-54089 | A vulnerability has been identified in APOGEE PXC Series (BACnet) (All versions), APOGEE PXC Series (P2 Ethernet) (All versio... |
| CVE-2024-5800 | Diffie-Hellman groups with insufficient strength used in SSL/TLS stack of B&R Automation Runtime |
| CVE-2025-12478 | Non-Compliant TLS Configuration |
| CVE-2025-20667 | In Modem, there is a possible information disclosure due to incorrect error handling. This could lead to remote information d... |
| CVE-2025-22446 | Inadequate encryption strength for some Edge Orchestrator software for Intel(R) Tiber™ Edge Platform may allow an authenticat... |
| CVE-2025-2349 | IROAD Dash Cam FX2 Password Hash passwd weak password hash |
| CVE-2025-2516 | Use of a weak cryptographic key in the signature verification process in WPS Office |
| CVE-2025-27524 | Weak encryption vulnerability in JP1/IT Desktop Management 2 - Smart Device Manager |
| CVE-2025-36106 | IBM Cognos Analytics Mobile (iOS) information disclosure |
| CVE-2025-45764 | jsrsasign v11.1.0 was discovered to contain weak encryption. NOTE: this issue has been disputed by a third party who believes... |
| CVE-2025-46409 | Inadequate encryption strength issue exists in SS1 Ver.16.0.0.10 and earlier (Media version:16.0.0a and earlier). If this vul... |
| CVE-2025-46833 | Programs/P73_SimplePythonEncryption.py has weak cryptographic key |
| CVE-2025-4894 | calmkart Django-sso-server crypto.py gen_rsa_keys inadequate encryption |
| CVE-2025-48960 | Weak server key used for TLS encryption. The following products are affected: Acronis Cyber Protect 16 (Linux, macOS, Windows... |
| CVE-2025-5305 | Password Reset with Code < 0.0.17 - Insecure Password Reset Code Creation |
| CVE-2025-55039 | Apache Spark, Apache Spark: RPC encryption defaults to unauthenticated AES-CTR mode, enabling man-in-the-middle ciphertext mo... |
| CVE-2025-55248 | .NET, .NET Framework, and Visual Studio Information Disclosure Vulnerability |
| CVE-2025-68703 | Jervis has a Salt for PBKDF2 derived from password |
| CVE-2025-7398 | Medium Strength Cipher Suites detected on port on ports 9000 and 8036 |
| CVE-2025-7789 | Xuxueli xxl-job Token Generation IndexController.java makeToken weak password hash |
| CVE-2025-9239 | elunez eladmin DES Key EncryptUtils.java EncryptUtils inadequate encryption |
| CVE-2025-9513 | editso fuso mod.rs PenetrateRsaAndAesHandshake inadequate encryption |
| CVE-2026-0510 | Obsolete Encryption Algorithm Used in NW AS Java UME User Mapping |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20250210-17 | 10.02.2025 | Получение конфиденциальной информации в Rockwell Automation FactoryTalk AssetCentre |
| VULN:20250303-8 | 03.03.2025 | Получение конфиденциальной информации в Siemens Apogee PXC and Talon TC Devices |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.