Куда я попал?
BDU:2019-04220
CVSS: 6.5
08.10.2019
Уязвимость микропрограммного обеспечения контроллеров Modicon, связанная с передачей конфиденциальной информации открытым текстом с использованием протокола FTP, позволяющая нарушителю раскрыть защищаемую информацию
Уязвимость микропрограммного обеспечения контроллеров Modicon связана с передачей конфиденциальной информации открытым текстом с использованием протокола FTP. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию
| Статус уязвимости: |
Подтверждена производителем
Информация об устранении отсутствует
|
| Дата выявления: | 08.10.2019 |
| Класс уязвимости: | Уязвимость кода |
| Наличие эксплойта: | Данные уточняются |
| Способ эксплуатации: | Нарушение аутентификации |
| Способ устранения: | Нет данных |
| Меры по устранению: | Компенсирующие меры: Для Modicon M580: Заблокировать доступ к порту 21/TCP Отключить службу FTP, с помощью Unity Pro / Control Expert programming Изменить пароль FTP, с помощью Unity Pro / Control Expert programming в меню "Свойства Проекта / Защита" При обновлении микропрограммы контроллера убедитесь что она совместима Настроить защищенную связь в соответствии с руководством "Modicon Controllers Platform Cyber Security Reference Manual", глава "настройка защищенной связи": https://www.schneider-electric.com/en/download/document/EIO0000001999/ Используйте модуль BMENOC и настроить функцию IPSEC, как описано в руководстве "Modicon M580 - BMENOC03.1 Ethernet Communications Module, Installation and Configuration Guide", глава "Настройка IPSEC соединения": https://www.schneider-electric.com/en/download/document/HRB62665/ Для Modicon M340: Заблокировать доступ к порту 21/TCP Отключить службу FTP, с помощью Unity Pro / Control Expert programming Изменить пароль FTP, с помощью Unity Pro / Control Expert programming в меню "Свойства Проекта / Защита" При обновлении микропрограммы контроллера убедитесь что она совместима Для Modicon BMxCRA и 140CRA modules: Заблокировать доступ к порту 21/TCP |
Идентификатор типа ошибки
Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
| Идентификатор | Описание |
|---|---|
| CWE-319 | Передача важных данных в незашифрованном виде |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2019-6846 | A CWE-319: Cleartext Transmission of Sensitive Information vulnerability exists in Modicon M580, Modicon M340, Modicon BMxCRA... |
CVSS
Система общей оценки уязвимостей
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 7.1 | HIGH | 2.0 | AV:N/AC:M/Au:N/C:C/I:N/A:N |
| 6.5 | MEDIUM | 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
Идентификаторы других систем описаний уязвимостей
CVE-2019-6846
SEVD-2019-281-02
| Вендор: |
|
| Тип ПО: |
|
| Наименование ПО: |
|
| Версия ПО: |
|
| Ссылки на источники: |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.