SK-CERT Bezpečnostné varovanie V20230419-03
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP WHITE |
CVSS Skóre |
9.8 |
Identifikátor |
B&R VC4 Visualization – dve kritické bezpečnostné zraniteľnosti |
Popis |
Spoločnosť B&R vydala bezpečnostné aktualizácie na produkt VC4 Visualization, ktoré opravujú dve kritické bezpečnostné zraniteľnosti. Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. |
Dátum prvého zverejnenia varovania |
14.04.2023 |
CVE |
CVE-2018-20748, CVE-2019-8277, CVE-2023-1617 |
IOC |
– |
Zasiahnuté systémy |
B&R VC4 Visualization 3.9 vo verzii staršej ako 3.96.8 B&R VC4 Visualization 4.0,4.1,4.2 a 4.3 vo verzii staršej ako 4.34.7 B&R VC4 Visualization 4.4,4.5 a 4.7 vo verzii staršej ako 4.73.0 |
Následky |
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému Neoprávnený prístup do systému |
Odporúčania |
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Výrobca rovnako odporúča neaktivovať VNC server, ak to nie je nutné pre fungovanie IACS, ako aj zníženie funkcionality HMI na nevyhnutné minimum. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
Zdroje |
https://www.br-automation.com/downloads_br_productcatalogue/assets/1681046878970-en-original-1.0.pdf https://nvd.nist.gov/vuln/detail/CVE-2023-1617 |
« Späť na zoznam