КиберосноваSGRC
BDU:2017-02111
Критический

BDU:2017-02111: Уязвимость службы авторизации терминалов M3000 Terminal и M3210 Terminal, программного обеспечения M3000 Desktop, контроллера MAC4 Controller, рентгеновских аппаратов SensorX23 X-ray Machine и SensorX25 X-ray Machine, системы взвешивания MWS2 Weighing System, позволяющая нарушителю получить несанкционированный доступ администратора к соответствующим устройствам

CVSS v210.0
Открыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2017-02111

Описание

Уязвимость службы авторизации терминалов M3000 Terminal и M3210 Terminal, программного обеспечения M3000 Desktop, контроллера MAC4 Controller, рентгеновских аппаратов SensorX23 X-ray Machine и SensorX25 X-ray Machine, системы взвешивания MWS2 Weighing System связана с использованием неизменяемых предустановленных системных учетных записей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ администратора к соответствующим устройствам

Что делать с BDU:2017-02111

Критическая уязвимость (CVSS 10.0) требует немедленного реагирования. По приказу ФСТЭК №117 срок устранения — 24 часа. Проверьте наличие патча у вендора и установите его на все затронутые системы. При невозможности патча — изолируйте уязвимый компонент и примените компенсирующие меры.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v2
10.0
Только просмотр
AV:N/AC:L/Au:N/C:C/I:C/A:C

CWE — тип уязвимости

CVE — международный идентификатор

CWE-798
Захардкоженные учётные данные

Пароли, ключи API или токены хранятся в исходном коде. Приводит к компрометации при утечке кода.

Как атакуют и что делать ▾

Сценарий атаки

Пароль БД или API-ключ захардкожен в коде. При утечке репозитория (GitHub, дамп) атакующий получает доступ.

Последствия

Полный доступ к внешним сервисам, БД, облачным ресурсам.

Рекомендации

Храните секреты в переменных окружения или vault (HashiCorp Vault, AWS SSM). Сканируйте код на secrets.

Тактики и техники

Нарушение аутентификации

Уязвимое ПО (99)

ВендорНазваниеВерсияПлатформа
Marel Food Processing SystemsM3000 TerminalA320Не указана
Marel Food Processing SystemsM3000 TerminalA325Не указана
Marel Food Processing SystemsM3000 TerminalA371Не указана
Marel Food Processing SystemsM3000 TerminalA520 MasterНе указана
Marel Food Processing SystemsM3000 TerminalA520 SlaveНе указана
Marel Food Processing SystemsM3000 TerminalA530Не указана
Marel Food Processing SystemsM3000 TerminalA542Не указана
Marel Food Processing SystemsM3000 TerminalA571Не указана
Marel Food Processing SystemsM3000 TerminalCheck Bin GraderНе указана
Marel Food Processing SystemsM3000 TerminalFlowlineQC T376Не указана
Marel Food Processing SystemsM3000 TerminalIPM3 Dual Cam v132Не указана
Marel Food Processing SystemsM3000 TerminalIPM3 Dual Cam v139Не указана
Marel Food Processing SystemsM3000 TerminalIPM3 Single Cam v132Не указана
Marel Food Processing SystemsM3000 TerminalP520Не указана
Marel Food Processing SystemsM3000 TerminalP574Не указана
Marel Food Processing SystemsM3000 TerminalSensorX13 QC flow lineНе указана
Marel Food Processing SystemsM3000 TerminalSensorX23 QC MasterНе указана
Marel Food Processing SystemsM3000 TerminalSensorX23 QC SlaveНе указана
Marel Food Processing SystemsM3000 TerminalSpeed BatcherНе указана
Marel Food Processing SystemsM3000 TerminalT374Не указана
Marel Food Processing SystemsM3000 TerminalT377Не указана
Marel Food Processing SystemsM3000 TerminalV36Не указана
Marel Food Processing SystemsM3000 TerminalV36BНе указана
Marel Food Processing SystemsM3000 TerminalV36CНе указана
Marel Food Processing SystemsM3210 TerminalA320Не указана
Marel Food Processing SystemsM3210 TerminalA325Не указана
Marel Food Processing SystemsM3210 TerminalA371Не указана
Marel Food Processing SystemsM3210 TerminalA520 MasterНе указана
Marel Food Processing SystemsM3210 TerminalA520 SlaveНе указана
Marel Food Processing SystemsM3210 TerminalA530Не указана
Marel Food Processing SystemsM3210 TerminalA542Не указана
Marel Food Processing SystemsM3210 TerminalA571Не указана
Marel Food Processing SystemsM3210 TerminalCheck Bin GraderНе указана
Marel Food Processing SystemsM3210 TerminalFlowlineQC T376Не указана
Marel Food Processing SystemsM3210 TerminalIPM3 Dual Cam v132Не указана
Marel Food Processing SystemsM3210 TerminalIPM3 Dual Cam v139Не указана
Marel Food Processing SystemsM3210 TerminalIPM3 Single Cam v132Не указана
Marel Food Processing SystemsM3210 TerminalP520Не указана
Marel Food Processing SystemsM3210 TerminalP574Не указана
Marel Food Processing SystemsM3210 TerminalSensorX13 QC flow lineНе указана
Marel Food Processing SystemsM3210 TerminalSensorX23 QC MasterНе указана
Marel Food Processing SystemsM3210 TerminalSensorX23 QC SlaveНе указана
Marel Food Processing SystemsM3210 TerminalSpeed BatcherНе указана
Marel Food Processing SystemsM3210 TerminalT374Не указана
Marel Food Processing SystemsM3210 TerminalT377Не указана
Marel Food Processing SystemsM3210 TerminalV36Не указана
Marel Food Processing SystemsM3210 TerminalV36BНе указана
Marel Food Processing SystemsM3210 TerminalV36CНе указана
Marel Food Processing SystemsM3000 DesktopA320Не указана
Marel Food Processing SystemsM3000 DesktopA325Не указана

Показано 50 из 99

Рекомендации по устранению

Принятие ограничительных мер для минимизации риска использования данной уязвимости

SLA ФСТЭК №117

24 часа

по базовой оценке CVSS 10.0

Threat Intelligence

SSVC: Приоритетное устранение

Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.

EPSS — вероятность эксплуатации2.1%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2017-04-04

Опубликована

2017-09-22

Обновлена

2021-03-23

Эксплойт

Данные уточняются

Исправление

Информация об устранении отсутствует

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно
Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0