BDU:2018-00495: Уязвимость микропрограммного обеспечения коммуникационных модулей Siemens EN100 Ethernet module, связанная с недостатками контроля доступа, позволяющая нарушителю устанавливать микропрограммное обеспечение
Детали уязвимости BDU:2018-00495
Описание
Уязвимость микропрограммного обеспечения коммуникационных модулей EN100 Ethernet module IEC 61850, EN100 Ethernet module PROFINET IO, EN100 Ethernet module DNP3, EN100 Ethernet module Modbus TCP, EN100 Ethernet module IEC 104 связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно и не прошедшему процедуру аутентификации, устанавливать микропрограммное обеспечение (в том числе версии, содержащие известные уязвимости) с использованием веб-интерфейса
Что делать с BDU:2018-00495
Высокая уязвимость (CVSS 9.8) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.
Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.
Оценка критичности (CVSS)
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAV:N/AC:L/Au:N/C:P/I:P/A:PCWE — тип уязвимости
CVE — международный идентификатор
Тактики и техники
Уязвимое ПО (9)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| Siemens AG | EN100 Ethernet module IEC 61850 | до 4.30 | Не указана |
| Siemens AG | EN100 Ethernet module IEC 61851 | до 4.30 | Не указана |
| Siemens AG | EN100 Ethernet module IEC 61852 | до 4.30 | Не указана |
| Siemens AG | EN100 Ethernet module IEC 61853 | до 4.30 | Не указана |
| Siemens AG | EN100 Ethernet module IEC 61854 | до 4.30 | Не указана |
| Siemens AG | EN100 Ethernet module PROFINET IO variant | - | Не указана |
| Siemens AG | EN100 Ethernet module Modbus TCP variant | - | Не указана |
| Siemens AG | EN100 Ethernet module DNP3 variant | До 1.04 | Не указана |
| Siemens AG | EN100 Ethernet module IEC 104 variant | До 1.22 | Не указана |
Рекомендации по устранению
Использование рекомендаций: https://cert-portal.siemens.com/productcert/pdf/ssa-845879.pdf
SLA ФСТЭК №117
24 часа
по базовой оценке CVSS 9.8
Уточните SLA под вашу среду
Базовый балл 9.8 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.
Пересчитать CVSS с учётом средыThreat Intelligence
SSVC: Приоритетное устранение
Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.
Вероятность эксплуатации в 30 дней (FIRST EPSS)
Информация
Обнаружена
2015-12-17
Опубликована
2018-04-06
Обновлена
2021-03-23
Эксплойт
Данные уточняются
Исправление
Уязвимость устранена
Статус
Потенциальная уязвимость
Управляйте уязвимостями, а не таблицами
Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.
- Уязвимости → активы → ответственные — цепочка за минуту
- SLA-таймеры и эскалация — дедлайны не горят
- PDF-отчёт для ФСТЭК — за один клик
Связанные уязвимости
BDU:2019-00764Уязвимость обработчика протокола IEC 61850-MMS микропрограммного обеспечения сетевого оборудования Siemens, позволяющая
BDU:2019-00901Уязвимость микропрограммного обеспечения коммуникационного модуля Siemens, связанная с недостаточной проверкой вводимых
BDU:2019-00900Уязвимость микропрограммного обеспечения коммуникационного модуля Siemens, связанная с недостаточной проверкой вводимых
BDU:2018-00496Уязвимость микропрограммного обеспечения коммутационных модулей Siemens EN100, устройств релейной защиты SIPROTEC и паке
BDU:2018-00555Уязвимость микропрограммного обеспечения коммутационных модулей Siemens EN100, устройств релейной защиты SIPROTEC и паке
Что добавляет КиберОснова к данным БДУ ФСТЭК
CVSS v4.0 + калькулятор
Единственный бесплатный калькулятор CVSS v4.0 на русском языке
SLA по приказу №117
Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн
EPSS + CISA KEV
Оценка вероятности эксплуатации и статус активных атак
Полнотекстовый поиск
По названию, CVE, CWE, описанию — русский и английский
Связанные уязвимости
Автоматический подбор по затронутому ПО
Мобильная версия
Адаптивный интерфейс для работы с телефона и планшета
Автоматизируйте управление уязвимостями
КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.