Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-326
Inadequate Encryption Strength
The product stores or transmits sensitive data using an encryption scheme that is theoretically sound, but is not strong enough for the level of protection required.
| Тип уязвимости: | Не зависит от других уязвимостей |
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2015-00125 | Уязвимость программного обеспечения Cisco ACE, позволяющая злоумышленнику перехватить сессию |
| BDU:2015-00126 | Уязвимость программного обеспечения Cisco ASA, позволяющая злоумышленнику перехватить сессию |
| BDU:2015-00127 | Уязвимость программного обеспечения Cisco IPS, позволяющая злоумышленнику перехватить сессию |
| BDU:2015-00128 | Уязвимость программного обеспечения Cisco Unified Communications Manager, позволяющая злоумышленнику перехватить сессию |
| BDU:2015-07477 | Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-07482 | Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-07483 | Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-07485 | Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2017-00438 | Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю обойти криптографические механизмы защиты |
| BDU:2017-00445 | Уязвимость операционной системы iOS, позволяющая нарушителю облегчить процедуру дешифровки файлов |
| BDU:2017-00918 | Уязвимость операционной системы iOS, позволяющая нарушителю обходить криптографические механизмы защиты |
| BDU:2017-01939 | Уязвимость операционной системы Android из репозитория CAF, существующая из-за недостаточно стойкого шифрования данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2017-01947 | Уязвимость компонента Full Disk Encryption операционной системы Android из репозитория CAF, позволяющая нарушителю вызвать откат системы |
| BDU:2018-01003 | Уязвимость реализации протокола IKE операционных систем Cisco IOS и Cisco IOS XE, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2018-01004 | Уязвимость реализации протокола IKE сетевых устройств ZyXEL USG, ZyXEL USG VPN, ZyWALL и ZyWALL VPN, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2018-01460 | Уязвимость службы управления идентификацией системы управления сетью Cisco Digital Network Architecture (DNA) Center, позволяющая нарушителю обойти процедуру аутентификации и получить контроль над функциями управления идентификацией |
| BDU:2019-02762 | Уязвимость функции net_hash_mix () ядра операционной системы Linux, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-02915 | Уязвимость хеш-функции "jhash" ядра операционной системы Linux, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-03722 | Уязвимость реализации сетевого протокола NTLMv2 операционных систем Windows, позволяющая нарушителю осуществить атаку типа "человек посередине" |
| BDU:2020-00096 | Уязвимость программ просмотра и редактирования PDF-файлов Adobe Acrobat Document Cloud и Adobe Acrobat Reader Document Cloud, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю обойти существующие механизмы защиты в контексте... |
| BDU:2020-00972 | Уязвимость веб-интерфейса сетевых коммутаторов Belden Hirschmann серий RS, RSR, RSB, MACH100, MACH1000, MACH4000, MS и OCTOPUS, позволяющая нарушителю осуществить атаку типа "человек посередине" |
| BDU:2020-02117 | Уязвимость программного средства Telerik UI для ASP.NET AJAX, связанная с недостатками шифрования RadAsyncUpload, позволяющая нарушителю выполнять произвольную загрузку файлов или выполнить произвольный код |
| BDU:2020-03067 | Уязвимость компонента SharePort Web Access микропрограммного обеспечения маршрутизатора D-Link DIR-865L, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2020-05287 | Уязвимость в подсистеме микропрограммного обеспечения Intel Converged Security and Manageability Engine (CSME), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-05690 | Уязвимость функции sftunnel межсетевых экранов Cisco Firepower Management Center (FMC) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю получить хэш регистрации устройства |
| BDU:2020-05807 | Уязвимость сервера приложений Wildfly, связанная с недостаточной обработкой исключительных состояний, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2021-00434 | Уязвимость веб-сервера Oracle iPlanet, связанная с доступом для чтения к ключам шифрования без аутентификации, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-00873 | Уязвимость реализации библиотеки OpenSSL, связанная с недостаточной стойкостью шифрования, позволяющая нарушителю перехватить все зашифрованные сообщения, отправленные через соединение TLS |
| BDU:2021-01195 | Уязвимость реализации протоколов WPA/WPA2 операционных систем Fortinet FortiOS и микропрограммного обеспечения точек доступа Fortinet FortiAP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01604 | Уязвимость микропрограммного обеспечения многофункционального устройства Xerox AltaLink, связанная с недостаточной стойкостью шифрования, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-01637 | Уязвимость реализации протокола NSDP микропрограммного обеспечения сетевых устройств Netgear ProSafe Plus JGS516PE и ProSAFE Plus GS116Ev2, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-01912 | Уязвимость функции openssl_encrypt() языка программирования php, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2021-02137 | Уязвимость оптических линейных терминалов CDATA 72408A, 9008A, 9016A, 92408A, 92416A, 9288, 97016, 97024P, 97028P, 97042P, 97084P, 97168P, FD1002S, FD1104, FD1104B, FD1104S, FD1104SN, FD1108S, FD1204S-R2, FD1204SN, FD1204SN-R2, FD1208S-R2, FD1216S-R1... |
| BDU:2021-02828 | Уязвимость менеджера паролей Kaspersky Password Manager, связанная с недостаточной стойкостью шифрования, позволяющая нарушителю обходить криптографические механизмы защиты |
| BDU:2021-03088 | Уязвимость реализации алгоритмов WPA, WPA2 и WPA3 набора стандартов связи для коммуникации IEEE 802.11, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2021-03194 | Уязвимость функции str_rot_pass веб-прокси скрипта PHP-Proxy, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-03521 | Уязвимость микропрограммного обеспечения программно-аппаратных средств машинного зрения SICK Visionary-S CX, связанная с недостаточной стойкостью шифрования, позволяющая нарушителю раскрыть защищаемую информацию и провести атаки типа "злоумышленник в... |
| BDU:2021-03895 | Уязвимость системы защиты электронной почты FortiMail, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-04136 | Уязвимость реализации протокола S/MIME почтового клиента Thunderbird, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04145 | Уязвимость SSH-сервера операционной системы ОС РОСА КОБАЛЬТ, связанная с использованием слабых алгоритмов шифрования (таких как RC4 и Blowfish), позволяющая нарушителю обходить криптографические механизмы защиты |
| BDU:2021-04207 | Уязвимость библиотеки Eclipse TinyDTLS, связанная с ошибками в коде генератора псевдослучайных чисел, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-04281 | Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M221, M100, M200, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю получить ключ шифрования |
| BDU:2021-05678 | Уязвимость CMS-системы DNN, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-05679 | Уязвимость CMS-системы DNN, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-06280 | Уязвимость системы сбора и анализа событий безопасности IBM QRadar SIEM, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-00366 | Уязвимость микропрограммного обеспечения Wi-Fi роутеров NETGEAR D7000v2, D8500, EX3700, EX3800, EX6120 и EX6130, связанная с ошибками дешифрования трафика, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-00986 | Уязвимость компонента WebSockets API приложения контроля лицензий CodeMeter, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-02026 | Уязвимость компонента Server: Security: Encryption системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-03751 | Уязвимость реализации протокола S-Bus микропрограммного обеспечения программируемых логических контроллеров PCD controllers, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-03762 | Уязвимость реализации протокола Motorola Data Link Communication (MDLC), связанная с использованием блочного шифрования Tiny Encryption Algorithm (TEA) в режиме ECB, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-03840 | Уязвимость промышленных рабочих станций Emerson DeltaV, связанная с использованием криптографических алгоритмов, содержащих дефекты, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-03843 | Уязвимость промышленных рабочих станций Emerson DeltaV, связанная с использованием криптографических алгоритмов, содержащих дефекты, позволяющая нарушителю получить доступ к интерфейсу системы управления |
| BDU:2022-03844 | Уязвимость реализации протокола BSAP/IP контроллера телемеханики ControlWave и контроллера Bristol Babcock 33xx, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-03846 | Уязвимость реализации протокола BSAP/IP контроллера телемеханики ControlWave и контроллера Bristol Babcock 33xx, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-03847 | Уязвимость реализации протокола BSAP/IP контроллера телемеханики ControlWave и контроллера Bristol Babcock 33xx, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-04710 | Уязвимость микропрограммного обеспечения промышленного программно-аппаратного оборудования General Electric Renewable Energy iNET и iNET II, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю скомпрометировать целевую систему |
| BDU:2022-04770 | Уязвимость пакета офисных программ LibreOffice, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2022-04785 | Уязвимость базы данных конфигураций пользователя пакета офисных программ LibreOffice, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-04927 | Уязвимость программного обеспечения продуктов Siemens SIMATIC, связанная с утечкой информации о файлах и каталогах, позволяющая нарушителю получить учетные данные |
| BDU:2022-06265 | Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager (AEM), связанная с нарушением принципов безопасного проектирования, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защища... |
| BDU:2022-06786 | Уязвимость реализации протокола Kerberos операционных систем Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-00022 | Уязвимость реализации протокола Heimdal Kerberos пакета программ сетевого взаимодействия Samba, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-00226 | Уязвимость программного средства управления клиентскими данными SAP Customer Data Cloud, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-00472 | Уязвимость микропрограммного обеспечения маршрутизаторов InHand Networks InRouter302, связанная с использованием жестко закодированного криптографического ключа, позволяющая нарушителю повысить свои привилегии и раскрыть защищаемую информацию |
| BDU:2023-00771 | Уязвимость механизма генерации ключа сброса пользовательского пароля системы автоматизации образования Апекс-ВУЗ, позволяющая нарушителю получить пароль пользователя |
| BDU:2023-01658 | Уязвимость программы для шифрования информации и создания электронных цифровых подписей GnuPG, связанная с слабым шифрованием, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-01751 | Уязвимость механизма формирования очередей для буферизации кадров реализации технологии буферизации Wi-Fi-пакетов, связанная с использованием слабого шифрования, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2023-02829 | Уязвимость сетевой камеры для наблюдения D-Link 825L|, связанная с использованием слабого механизма шифрования, позволяющая нарушителю выполнить атаку "человек посередине" (MITM) |
| BDU:2023-03082 | Уязвимость реализации прикладного программного интерфейса платформы для централизованного управления приложениямия Rockwell Automation ThinManager, связанная с недостаточной стойкостью шифрования, позволяющая нарушителю скомпрометировать целевую сист... |
| BDU:2023-03765 | Уязвимость реализации протокола TLS Java-фреймворка Quarkus, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-04076 | Уязвимость программного средства для управления производственными процессами ABB eSOMS, связанная с использованием слабого механизма шифрования, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-05017 | Уязвимость операционной системы QTS сетевых хранилищ QNAP, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным |
| BDU:2023-05894 | Уязвимость веб-браузера Firefox, связанная с слабым шифрованием, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2023-06358 | Уязвимость модуля сообщений оболочки EMUI операционной системы HarmonyOS, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2023-06504 | Уязвимость микропрограммного обеспечения платформ маршрутизации и коммутации RUGGEDCOM ROX MX5000, RUGGEDCOM ROX MX5000RE и RUGGEDCOM ROX RX1400, связанная с использованием слабого шифрования, позволяющая нарушителю выполнить атаку типа "человек посе... |
| BDU:2023-07908 | Уязвимость реализации криптографического алгоритма SHA-1 браузера Google Chrome, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2023-08267 | Уязвимость реализации подключений Secure Connections Pairing и Secure Simple Pairing спецификации Bluetooth Core Specification, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2023-08590 | Уязвимость беспроводной клавиатуры Acer Wireless Keyboard SK-9662, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю расшифровывать нажатия клавиш или внедрить произвольные нажатия клавиш |
| BDU:2023-08656 | Уязвимость SSH-сервера промышленных коммутаторов Siemens SCALANCE, позволяющая нарушителю реализовать атаку "человек посередине" |
| BDU:2023-09070 | Уязвимость универсальной системы мониторинга Zabbix, связанная с слабым шифрованием, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-00854 | Уязвимость микропрограммного обеспечения поточных газоанализаторов Emerson Rosemount X-STREAM, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-02112 | Уязвимость программного средства контроля использования съемных носителей информации USB Pratirodh, связанная с недостаточной стойкостью шифрования, позволяющая нарушителю получить пароль пользователя |
| BDU:2024-03170 | Уязвимость операционной системы PAN-OS, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю выполнить атаку типа "человек посередине" и получить несанкционированный доступ к защищаемой информации |
| BDU:2024-03448 | Уязвимость компонента FileTransfer программного обеспечение для управления сетью SAN Brocade SANnav, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2024-05286 | Уязвимость SCADA-системы "ЭНТЕК", связанная с использованием криптографических алгоритмов, содержащих дефекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05600 | Уязвимость компонента TLS/SSL программного обеспечение для управления сетью SAN Brocade SANnav, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2024-05902 | Уязвимость устройств релейной защиты SIPROTEC, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю проводить атаки типа "человек по середине" |
| BDU:2024-06479 | Уязвимость программного обеспечения exacqVision Client и exacqVision Server, связанная с недостаточно стойким шифрованием данных, получить несанкционированный доступ к защищаемой информации |
| BDU:2024-06542 | Уязвимость библиотеки анализа и кодирования JSON aeson, связанная с недостаточной стойкостью шифрования, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-06779 | Уязвимость компонента KV Service системы управления базами данных класса NoSQL Couchbase Server, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-08592 | Уязвимость программного обеспечения СКУД Gate, связанная с использованием слабого алгоритма шифрования, позволяющая нарушитель расшифровать пароль пользователя |
| BDU:2024-08819 | Уязвимость микропрограммного обеспечения маршрутизаторов DrayTek Vigor, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю раскрыть защищаемую информацию и выполнить атаку "человек посередине" (MITM) |
| BDU:2024-09081 | Уязвимость программных средств оптимизации производственных процессов Location Intelligence, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-10290 | Уязвимость сервера приложений Apache Tomcat, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2024-10295 | Уязвимость сервера приложений Apache Tomcat, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-00815 | Уязвимость команды build-ca утилиты управления сертификатами Easy-RSA, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-01155 | Уязвимость программного средства централизованного управления активами FactoryTalk AssetCentre, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-05904 | Уязвимость микропрограммного обеспечения контроллеров APOGEE PXC, TALON TC, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06511 | Уязвимость реализации протокола TLS программного обеспечения защиты данных Acronis Cyber Protect 16, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-08451 | Уязвимость служб Cryptographic Services операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-09710 | Уязвимость прокси-сервера IBM Sterling Secure Proxy, связанная с использованием слабых паролей, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-12705 | Уязвимость функции l2cap_connect() модуля net/bluetooth/l2cap_core.c ядра операционной системы Linux, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-13257 | Уязвимость программных платформ Microsoft .NET Framework, .NET и средства разработки программного обеспечения Microsoft Visual Studio, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-14653 | Уязвимость функции memcmp() программного обеспечения OpenVPN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-16460 | Уязвимость микропрограммного обеспечения модуля автоматизации Sprecher SPRECON-E, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00362 | Уязвимость компонента User Management Engine (UME) сервера веб-приложений SAP NetWeaver Java Application Server, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00769 | Уязвимость модульной системы охранной сигнализации Bosch MAP 5000, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и получить контроль над системой |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2014-2380 | Schneider Electric Wonderware Inadequate Encryption Strength |
| CVE-2014-2381 | Schneider Electric Wonderware Inadequate Encryption Strength |
| CVE-2014-9199 | Clorius Controls A/S ISC SCADA Insecure Java Client Inadequate Encryption Strength |
| CVE-2017-9635 | Schneider Electric Ampla MES 6.4 provides capability to configure users and their privileges. When Ampla MES users are config... |
| CVE-2017-9645 | An Inadequate Encryption Strength issue was discovered in Mirion Technologies DMC 3000 Transmitter Module, iPam Transmitter f... |
| CVE-2018-0131 | A vulnerability in the implementation of RSA-encrypted nonces in Cisco IOS Software and Cisco IOS XE Software could allow an... |
| CVE-2018-0448 | Cisco Digital Network Architecture Center Authentication Bypass Vulnerability |
| CVE-2018-16499 | In VOS compromised, an attacker at network endpoints can possibly view communications between an unsuspecting user and the se... |
| CVE-2018-19001 | Philips HealthSuite Health Android App, all versions. The software uses simple encryption that is not strong enough for the l... |
| CVE-2018-4839 | A vulnerability has been identified in DIGSI 4 (All versions < V4.92), EN100 Ethernet module DNP3 variant (All versions < V1.... |
| CVE-2018-5461 | An Inadequate Encryption Strength issue was discovered in Belden Hirschmann RS, RSR, RSB, MACH100, MACH1000, MACH4000, MS, an... |
| CVE-2019-14855 | A flaw was found in the way certificate signatures could be forged using collisions found in the SHA-1 algorithm. An attacker... |
| CVE-2019-18241 | In Philips IntelliBridge EC40 and EC80, IntelliBridge EC40 Hub all versions, and IntelliBridge EC80 Hub all versions, the SSH... |
| CVE-2019-18263 | An issue was found in Philips Veradius Unity, Pulsera, and Endura Dual WAN Router, Veradius Unity (718132) with wireless opti... |
| CVE-2019-19097 | ABB eSOMS: SSL medium strength Cipher Suites |
| CVE-2019-19101 | Incomplete communication encryption and validation in B&R Automation Studio upgrade service |
| CVE-2019-19299 | A vulnerability has been identified in SiNVR/SiVMS Video Server (All versions < V5.0.0), SiNVR/SiVMS Video Server (All versio... |
| CVE-2020-10125 | NCR SelfServ ATMs running APTRA XFS 04.02.01 and 05.01.00 implement 512-bit RSA certificates to validate bunch note acceptor... |
| CVE-2020-10601 | VISAM VBASE Editor version 11.5.0.2 and VBASE Web-Remote Module allow weak hashing algorithm and insecure permissions which m... |
| CVE-2020-10636 | ICSA-20-140-02 Emerson OpenEnterprise |
| CVE-2020-14517 | Protocol encryption can be easily broken for CodeMeter (All versions prior to 6.90 are affected, including Version 6.90 or ne... |
| CVE-2020-16235 | Emerson OpenEnterprise - Inadequate Encryption Strength |
| CVE-2020-1982 | PAN-OS: TLS 1.0 usage for certain communications with Palo Alto Networks cloud delivered services |
| CVE-2020-25685 | A flaw was found in dnsmasq before version 2.83. When getting a reply from a forwarded query, dnsmasq checks in forward.c:rep... |
| CVE-2020-26197 | Dell PowerScale OneFS 8.1.0 - 9.1.0 contains an LDAP Provider inability to connect over TLSv1.2 vulnerability. It may make it... |
| CVE-2020-26263 | RSA vulnerability in tslite-ng |
| CVE-2020-3549 | Cisco Firepower Management Center Software and Firepower Threat Defense Software sftunnel Pass the Hash Vulnerability |
| CVE-2020-4099 | HCL Verse for Android is susceptible to an APK signing key check vulnerability |
| CVE-2020-6966 | In ApexPro Telemetry Server Versions 4.2 and prior, CARESCAPE Telemetry Server v4.2 & prior, Clinical Information Center (CIC... |
| CVE-2020-7565 | A CWE-326: Inadequate Encryption Strength vulnerability exists in Modicon M221 (all references, all versions) that could allo... |
| CVE-2021-20406 | IBM Security Verify Information Queue information disclosure |
| CVE-2021-21387 | Partial secret key disclosure, improper safety number calculation, & inadequate encryption strength |
| CVE-2021-27450 | SSH server configuration file does not implement some best practices. This could lead to a weakening of the SSH protocol stre... |
| CVE-2021-27457 | A vulnerability has been found in multiple revisions of Emerson Rosemount X-STREAM Gas Analyzer. The affected products utiliz... |
| CVE-2021-32010 | Clients may connect to a GateManager with TLS 1.0 |
| CVE-2021-32945 | MDT AutoSave Inadequate Encryption Strength |
| CVE-2021-35226 | Hashed Credential Exposure Vulnerability |
| CVE-2021-36337 | Dell Wyse Management Suite version 3.3.1 and prior support insecure Transport Security Protocols TLS 1.0 and TLS 1.1 which ar... |
| CVE-2021-37209 | A vulnerability has been identified in RUGGEDCOM i800 (All versions < V4.3.8), RUGGEDCOM i801 (All versions < V4.3.8), RUGGED... |
| CVE-2021-38121 | Weak communication protocol identified in Advance Authentication client application |
| CVE-2021-38464 | InHand Networks IR615 Router |
| CVE-2021-40341 | Weak DES encryption |
| CVE-2022-1318 | Hills ComNav Inadequate Encryption Strength |
| CVE-2022-24318 | A CWE-326: Inadequate Encryption Strength vulnerability exists that could cause non-encrypted communication with the server w... |
| CVE-2022-26306 | Execution of Untrusted Macros Due to Improper Certificate Validation |
| CVE-2022-26307 | Weak Master Keys |
| CVE-2022-2640 | The Config-files of Horner Automation’s RCC 972 with firmware version 15.40 are encrypted with weak XOR encryption vulnerable... |
| CVE-2022-2758 | Update |
| CVE-2022-32753 | IBM Security Verify Directory information disclosure |
| CVE-2022-34385 | SupportAssist for Home PCs (version 3.11.4 and prior) and SupportAssist for Business PCs (version 3.2.0 and prior) contain... |
| CVE-2022-4048 | CODESYS V3 prone to Inadequate Encryption Stregth |
| CVE-2022-40745 | IBM Aspera Faspex information disclosure |
| CVE-2022-41209 | SAP Customer Data Cloud (Gigya mobile app for Android) - version 7.4, uses encryption method which lacks proper diffusion and... |
| CVE-2023-1764 | Canon IJ Network Tool/Ver.4.7.5 and earlier (supported OS: OS X 10.9.5-macOS 13),IJ Network Tool/Ver.4.7.3 and earlier (suppo... |
| CVE-2023-21443 | Improper cryptographic implementation in Samsung Flow for Android prior to version 4.9.04 allows adjacent attackers to decryp... |
| CVE-2023-21444 | Improper cryptographic implementation in Samsung Flow for PC 4.9.14.0 allows adjacent attackers to decrypt encrypted messages... |
| CVE-2023-2197 | Vault Enterprise Vulnerable to Padding Oracle Attacks When Using a CBC-based Encryption Mechanism with a HSM |
| CVE-2023-27987 | Apache Linkis gateway module token authentication bypass |
| CVE-2023-28124 | Improper usage of symmetric encryption in UI Desktop for Windows (Version 0.59.1.71 and earlier) could allow users with acces... |
| CVE-2023-29054 | A vulnerability has been identified in SCALANCE X200-4P IRT (All versions < V5.5.2), SCALANCE X201-3P IRT (All versions < V5.... |
| CVE-2023-31135 | Dgraph Audit Log Encryption nonce reuse |
| CVE-2023-3243 | ** UNSUPPORTED WHEN ASSIGNED ** [An attacker can capture an authenticating hash and utilize it to create new sessions. The h... |
| CVE-2023-34337 | Inadequate Encryption Strength |
| CVE-2023-34971 | QTS, QuTS hero |
| CVE-2023-35332 | Windows Remote Desktop Protocol Security Feature Bypass |
| CVE-2023-36748 | A vulnerability has been identified in RUGGEDCOM ROX MX5000 (All versions < V2.16.0), RUGGEDCOM ROX MX5000RE (All versions <... |
| CVE-2023-37397 | IBM Aspera Faspex data manipulation |
| CVE-2023-4129 | Dell Data Protection Central, version 19.9, contains an Inadequate Encryption Strength Vulnerability. An unauthenticated net... |
| CVE-2023-41305 | Vulnerability of 5G messages being sent without being encrypted in a VPN environment in the SMS message module. Successful ex... |
| CVE-2023-4333 | Broadcom RAID Controller web interface doesn’t enforce SSL cipher ordering by server |
| CVE-2024-1224 | Information Disclosure Vulnerability in CDAC USB Pratirodh |
| CVE-2024-13026 | Inadequate Encryption Strength Vulnerability in Roche Algo Edge |
| CVE-2024-13454 | Weak encryption algorithm in Easy-RSA version 3.0.5 through 3.1.7 allows a local attacker to more easily bruteforce the priva... |
| CVE-2024-20692 | Microsoft Local Security Authority Subsystem Service Information Disclosure Vulnerability |
| CVE-2024-21787 | Inadequate encryption strength for some BMRA software before version 22.08 may allow an authenticated user to potentially ena... |
| CVE-2024-21881 | Upload of encrypted packages allows authenticated command execution in Enphase IQ Gateway v4.x and v5.x |
| CVE-2024-23656 | Dex 2.37.0 is discarding TLSconfig and always serves deprecated TLS 1.0/1.1 and insecure ciphers |
| CVE-2024-25102 | Information Disclosure Vulnerability in CDAC AppSamvid Software |
| CVE-2024-28860 | Insecure IPsec transport encryption in Cilium |
| CVE-2024-28974 | Dell Data Protection Advisor, version(s) 19.9, contain(s) an Inadequate Encryption Strength vulnerability. A low privileged a... |
| CVE-2024-29950 | Brocade SANnav before v2.3.1, v2.3.0a uses weak encryption |
| CVE-2024-29951 | Brocade SANnav has weak encryption in internal SSH ports |
| CVE-2024-29969 | TLS/SSL weak message authentication code ciphers are added by default for port 18082 |
| CVE-2024-32758 | exacqVision - Key exchanges |
| CVE-2024-3387 | PAN-OS: Weak Certificate Strength in Panorama Software Leads to Sensitive Information Disclosure |
| CVE-2024-38867 | A vulnerability has been identified in SIPROTEC 5 6MD84 (CP300) (All versions < V9.64), SIPROTEC 5 6MD85 (CP200) (All version... |
| CVE-2024-39928 | Apache Linkis Spark EngineConn: Commons Lang's RandomStringUtils Random string security vulnerability |
| CVE-2024-40719 | CHANGING Information Technology TCBServiSign Windows Version - Inadequate Encryption Strength |
| CVE-2024-40761 | Apache Answer: Avatar URL leaked user email addresses |
| CVE-2024-41681 | A vulnerability has been identified in Location Intelligence family (All versions < V4.4). The web server of affected product... |
| CVE-2024-42163 | Password Manipulation |
| CVE-2024-42177 | HCL MyXalytics is affected by SSL∕TLS Protocol affected with BREACH & LUCKY13 vulnerabilities |
| CVE-2024-45719 | Apache Answer: Predictable Authorization Token Using UUIDv1 |
| CVE-2024-54089 | A vulnerability has been identified in APOGEE PXC Series (BACnet) (All versions), APOGEE PXC Series (P2 Ethernet) (All versio... |
| CVE-2024-5800 | Diffie-Hellman groups with insufficient strength used in SSL/TLS stack of B&R Automation Runtime |
| CVE-2025-12478 | Non-Compliant TLS Configuration |
| CVE-2025-20667 | In Modem, there is a possible information disclosure due to incorrect error handling. This could lead to remote information d... |
| CVE-2025-22446 | Inadequate encryption strength for some Edge Orchestrator software for Intel(R) Tiber™ Edge Platform may allow an authenticat... |
| CVE-2025-2349 | IROAD Dash Cam FX2 Password Hash passwd weak password hash |
| CVE-2025-2516 | Use of a weak cryptographic key in the signature verification process in WPS Office |
| CVE-2025-27524 | Weak encryption vulnerability in JP1/IT Desktop Management 2 - Smart Device Manager |
| CVE-2025-36106 | IBM Cognos Analytics Mobile (iOS) information disclosure |
| CVE-2025-45764 | jsrsasign v11.1.0 was discovered to contain weak encryption. NOTE: this issue has been disputed by a third party who believes... |
| CVE-2025-46409 | Inadequate encryption strength issue exists in SS1 Ver.16.0.0.10 and earlier (Media version:16.0.0a and earlier). If this vul... |
| CVE-2025-46833 | Programs/P73_SimplePythonEncryption.py has weak cryptographic key |
| CVE-2025-4894 | calmkart Django-sso-server crypto.py gen_rsa_keys inadequate encryption |
| CVE-2025-48960 | Weak server key used for TLS encryption. The following products are affected: Acronis Cyber Protect 16 (Linux, macOS, Windows... |
| CVE-2025-5305 | Password Reset with Code < 0.0.17 - Insecure Password Reset Code Creation |
| CVE-2025-55039 | Apache Spark, Apache Spark: RPC encryption defaults to unauthenticated AES-CTR mode, enabling man-in-the-middle ciphertext mo... |
| CVE-2025-55248 | .NET, .NET Framework, and Visual Studio Information Disclosure Vulnerability |
| CVE-2025-68703 | Jervis has a Salt for PBKDF2 derived from password |
| CVE-2025-7398 | Medium Strength Cipher Suites detected on port on ports 9000 and 8036 |
| CVE-2025-7789 | Xuxueli xxl-job Token Generation IndexController.java makeToken weak password hash |
| CVE-2025-9239 | elunez eladmin DES Key EncryptUtils.java EncryptUtils inadequate encryption |
| CVE-2025-9513 | editso fuso mod.rs PenetrateRsaAndAesHandshake inadequate encryption |
| CVE-2026-0510 | Obsolete Encryption Algorithm Used in NW AS Java UME User Mapping |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20250210-17 | 10.02.2025 | Получение конфиденциальной информации в Rockwell Automation FactoryTalk AssetCentre |
| VULN:20250303-8 | 03.03.2025 | Получение конфиденциальной информации в Siemens Apogee PXC and Talon TC Devices |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.