BDU:2021-04282: Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M221, M100, M200, связанная небольшим количеством возможных случайных значений, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом «грубой силы» (brute force)
Детали уязвимости BDU:2021-04282
Описание
Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M221, M100, M200 связана небольшим количеством возможных случайных значений. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения безопасности с помощью атаки методом «грубой силы» (brute force)
Что делать с BDU:2021-04282
Высокая уязвимость (CVSS 7.1) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.
Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.
Оценка критичности (CVSS)
AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:HAV:A/AC:L/Au:N/C:C/I:C/A:CCWE — тип уязвимости
CVE — международный идентификатор
Тактики и техники
Уязвимое ПО (3)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| Schneider Electric | Modicon M221 | - | Не указана |
| Schneider Electric | Modicon M100 | - | Не указана |
| Schneider Electric | Modicon M200 | - | Не указана |
Рекомендации по устранению
Настройте сегментацию сети и установите настройки брандмауэра для блокировки несанкционированного доступа к порту 502/TCP Отключите все неиспользуемые протоколы Установите пароль для защиты проекта
SLA ФСТЭК №117
7 дней
по базовой оценке CVSS 7.1
Уточните SLA под вашу среду
Базовый балл 7.1 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.
Пересчитать CVSS с учётом средыThreat Intelligence
SSVC: Отслеживать (повышенный)
Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.
Вероятность эксплуатации в 30 дней (FIRST EPSS)
Информация
Обнаружена
2020-11-10
Опубликована
2021-08-31
Обновлена
2021-08-31
Эксплойт
Данные уточняются
Исправление
Информация об устранении отсутствует
Статус
Подтверждена производителем
Управляйте уязвимостями, а не таблицами
Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.
- Уязвимости → активы → ответственные — цепочка за минуту
- SLA-таймеры и эскалация — дедлайны не горят
- PDF-отчёт для ФСТЭК — за один клик
Внешние ресурсы
Связанные уязвимости
BDU:2021-04324Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M221, M100,
BDU:2021-04283Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M221, M100,
BDU:2021-04281Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M221, M100,
BDU:2021-04276Уязвимость микропрограммного обеспечения программируемых логических контроллеров Modicon, PacDrive, связанная с отсутств
BDU:2019-02053Уязвимость микропрограммного обеспечения программируемых логических контроллеров Modicon, ATV IMC и PacDrive, связанная
Что добавляет КиберОснова к данным БДУ ФСТЭК
CVSS v4.0 + калькулятор
Единственный бесплатный калькулятор CVSS v4.0 на русском языке
SLA по приказу №117
Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн
EPSS + CISA KEV
Оценка вероятности эксплуатации и статус активных атак
Полнотекстовый поиск
По названию, CVE, CWE, описанию — русский и английский
Связанные уязвимости
Автоматический подбор по затронутому ПО
Мобильная версия
Адаптивный интерфейс для работы с телефона и планшета
Автоматизируйте управление уязвимостями
КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.