КиберосноваSGRC
BDU:2021-04326
Высокий

BDU:2021-04326: Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M340, Modicon Quantum, Modicon Premium, связанная с недостаточной проверкой необычных или исключительных состояний, позволяющая нарушителю вызвать отказ в обслуживании с помощью специально сформированного HTTP-пакета

CVSS v37.5
CVSS v27.8
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2021-04326

Описание

Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M340, Modicon Quantum, Modicon Premium связана с недостаточной проверкой необычных или исключительных состояний. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Что делать с BDU:2021-04326

Высокая уязвимость (CVSS 7.5) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
7.5Высокий
Пересчитать →
v2
7.8
Только просмотр
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:HAV:N/AC:L/Au:N/C:N/I:N/A:C

CWE — тип уязвимости

CWE-754

CVE — международный идентификатор

CVE-2020-7539
CWE-754
Некорректная обработка исключений

Программа не обрабатывает нестандартные или ошибочные состояния. Приводит к непредсказуемому поведению.

Как атакуют и что делать ▾

Сценарий атаки

Программа не обрабатывает ошибку при отказе сети, диска, выделении памяти — продолжает работу с некорректным состоянием.

Последствия

Непредсказуемое поведение, повреждение данных, обход проверок безопасности.

Рекомендации

Обрабатывайте все коды ошибок, используйте fail-fast, логируйте нестандартные состояния.

Тактики и техники

Манипулирование сроками и состоянием

Уязвимое ПО (13)

ВендорНазваниеВерсияПлатформа
Schneider ElectricModicon M340BMXP34 до 3.30Не указана
Schneider ElectricModicon M340BMXNOE0100 (H) до 3.3Не указана
Schneider ElectricModicon M340BMXNOE0110 (H) до 6.5Не указана
Schneider ElectricModicon M340BMXNOC0401 (H) до 2.10Не указана
Schneider ElectricModicon PremiumTSXETY4103 до 6.2Не указана
Schneider ElectricModicon PremiumTSXETY5103 до 6.4Не указана
Schneider ElectricModicon Premium with integrated Ethernet COPROTSXP574634 до 6.1Не указана
Schneider ElectricModicon Premium with integrated Ethernet COPROTSXP575634 до 6.1Не указана
Schneider ElectricModicon Premium with integrated Ethernet COPROTSXP576634 до 6.1Не указана
Schneider ElectricModicon Quantum with integrated Ethernet COPRO140CPU65xx0 до 6.1Не указана
Schneider ElectricModicon Quantum140NOE771x1 до 7.1Не указана
Schneider ElectricModicon Quantum140NOC78x00 до 1.74Не указана
Schneider ElectricModicon Quantum140NOC77101 до 1.08Не указана

Рекомендации по устранению

Использование рекомендаций: https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-343-03_Web_Server_Modicon_M340_Premium_Quantum_Communication_Modules_Security_Notification_V2.0.pdf&p_Doc_Ref=SEVD-2020-343-03

Источники (1)

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 7.5

Уточните SLA под вашу среду

Базовый балл 7.5 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать (повышенный)

Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.

EPSS — вероятность эксплуатации0.4%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2020-12-08

Опубликована

2021-09-02

Обновлена

2021-09-02

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2020-7539 MITRE: CWE-754 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2025-10625
Высокий
8.7

Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M340 и сете

BDU:2025-00417
Высокий
8.8

Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M340 и сете

BDU:2024-04748
Средний
6.5

Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M340 и сете

BDU:2022-04998
Высокий
7.5

Уязвимость реализации протокола Modbus TCP микропрограммного обеспечения программируемых логических контроллеров Schneid

BDU:2022-04969
Критический
9.8

Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expe

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0