Куда я попал?
BDU:2023-04419
CVSS: 7
24.07.2023
Уязвимость программной платформы управления операционными данными для оптимизации производства ABB Ability zenon, связанная с ошибками в настройках системы или конфигурации, позволяющая нарушителю читать и обновлять произвольные данные в различных каталогах системы
Уязвимость программной платформы управления операционными данными для оптимизации производства ABB Ability zenon связана с ошибками в настройках системы или конфигурации. Эксплуатация уязвимости может позволить нарушителю читать и обновлять произвольные данные в различных каталогах системы
| Статус уязвимости: |
Подтверждена производителем
Уязвимость устранена
|
| Дата выявления: | 24.07.2023 |
| Класс уязвимости: | Уязвимость архитектуры |
| Наличие эксплойта: | Данные уточняются |
| Способ эксплуатации: | Злоупотребление функционалом |
| Способ устранения: | Нет данных |
| Меры по устранению: | Компенсирующие меры: 1.Рекомендуемые методы включают в себя физическую защиту систем управления процессами, отсутствие прямых подключений к Интернету и отделение от других сетей с помощью межсетевого экрана, имеющего минимальное количество открытых портов. 2. Удалить разрешения каталога по умолчанию для «Everyone» в сервисной сетке, утилитах ABB и zenon_Projects каталогах и предоставить доступ только определенным пользователям, которые должны получить доступ к zenon. 3. Установить службы IIoT, т.е. компонент сети услуг, в отдельную систему. 4. Обезопасить связанные c ZEE600 исполняемые файлы в каталоге «C :\ProgureData\ABB\ABButilities», удалив группу с именем «Everyone». 5.Каталог проекта должен иметь доступ только к группе пользователей (исключая администратора), в которой пользователи могут использовать zenon _ Projects. Использование рекомендаций: https://search.abb.com/library/Download.aspx?DocumentID=2NGA001801&;LanguageCode=en&DocumentPartId=&Action=Launch&_ga=2.194142766.2067879716.1690216773-1911411808.1686627590 |
| Прочая информация: | Пример: Создаваемая группа пользователей с именем «zenon _ Projects Group» является единственной группой, имеющей доступ на запись в каталог zenon _ Projects. Если у системы есть 2 пользователя, такие как test1 (Часть zenonOwnersGroup) и test2 (не в zenonOwnersGroup). Каталог проекта (C :\Users\Public\Documents\zenon _ Projects) должен иметь доступ на запись только для группы ZEGroup и ни для кого другого. Теперь test1 должен иметь доступ на запись в каталог zenon_Project, а test2 не должен |
Идентификатор типа ошибки
Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
| Идентификатор | Описание |
|---|---|
| CWE-15 | CWE-15 External Control of System or Configuration Setting |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2023-3321 | Code Execution through Writable Mosquitto Configuration File |
CVSS
Система общей оценки уязвимостей
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 6 | MEDIUM | 2.0 | AV:L/AC:H/Au:S/C:C/I:C/A:C |
| 7 | - | 3.0 | AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
Идентификаторы других систем описаний уязвимостей
CVE-2023-3321
| Вендор: |
|
| Тип ПО: |
|
| Наименование ПО: |
|
| Версия ПО: |
|
| Ссылки на источники: |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.