Відповідно до BSI: Відомий виробник ПЛК Phoenix Contact повинен повідомити про низку критичних і дуже небезпечних уразливостей у своїх промислових продуктах: TC ROUTER і TC CLOUD CLIENT, веб-панелі WP 6xxx і в модулях керування PLCnext.
Федеральне відомство з інформаційної безпеки (BSI) попереджає про критичні та дуже небезпечні прогалини в безпеці промислових маршрутизаторів TC ROUTER і TC CLOUD CLIENT від виробника Phoenix Contact і закликає до негайних дій. Сам виробник також повідомляє про інші критичні прогалини у своїх веб-панелях WP 6xxx, а також у модулях керування PLCnext.
Уразливі промислові системи управління
TC ROUTER, TC CLOUD CLIENT і CLOUD CLIENT
Повідомлені вразливості для TC ROUTER, TC CLOUD CLIENT і CLOUD CLIENT Device є двома вразливими місцями, але лише одна з них є критичною з оцінкою CVSS 9.6 з 10. Друга має оцінку 4.9. Атака: віддалений анонімний зловмисник може використати уразливості для виконання міжсайтової атаки сценаріїв і створення стану відмови в обслуговуванні.
Веб-панелі WP 6xxx
Веб-панелі WP 6xxx також уразливі до 14 уразливостей. 4 з них є критичними зі значенням CVSS 9.9, 6 інших уразливостей мають значення CVSS від 7.2 до 8.8 і тому вважаються дуже небезпечними. Усі інші розбіжності вказані за CVSS від 3.8 до 4.3. Ці вразливості дозволяють зловмиснику скомпрометувати конфіденційність, цілісність і доступність пристрою. Автентифікований зловмисник може отримати оболонку керування, запустити будь-яку команду операційної системи з правами адміністратора, прочитати всі файли, доступні користувачеві «браузера», створити дійсні файли cookie сеансу, розшифрувати пароль веб-служби, отримати спільноти SNMP або створити пакет оновлення шкідливого програмного забезпечення. .
Уразливості PLCnext Engineer
Крім того, Phoenix Contact повідомляє про 11 уразливостей інженерів у PLCnext. Уражені бібліотеки LibGit2Sharp/LibGit2. Одна вразливість є критичною зі значенням CVSS 9.8, 9 інших уразливостей мають значення CVSS від 7.5 до 8.8 і тому дуже небезпечні.
У LibGit2Sharp або базовій бібліотеці LibGit2 було виявлено кілька вразливостей. Цей компонент із відкритим кодом використовується в багатьох продуктах по всьому світу. Продукт вразливий до віддаленого виконання коду, підвищення привілеїв і втручання. PLCnext Engineer використовує бібліотеку LibGit2Sharp для забезпечення можливостей контролю версій.
Доступні оновлення мікропрограми
Постачальник Phoenix Contact надає відповідні оновлення прошивки та виправлення для всіх уразливостей. Компанії повинні використовувати їх негайно, оскільки зловмисники можуть завдати великої шкоди, особливо у випадку критичних уразливостей. Перелік уразливостей і подальші описи можна знайти на веб-сайті VDE Cert – Асоціації електричних, електронних та інформаційних технологій VDE.
Більше на VDE.com