В устройствах релейной защиты Schneider Electric Easergy исправлены опасные уязвимости

Агентство кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) на прошлой неделе опубликовало уведомление безопасности для АСУ ТП относительно ряда уязвимостей в устройствах релейной защиты среднего напряжения Schneider Electric Easergy.

Согласно уведомлению, успешная эксплуатация уязвимостей может привести к раскрытию учетных данных для доступа к устройству, вызвать отказ в обслуживании или перезагрузку устройства или позволить злоумышленнику получить полный контроль над устройством, что может поставить под угрозу безопасность электросети.

Две высокоопасные уязвимости затрагивают версии Easergy P3 до 30.205 и Easergy P5 до 01.401.101.

CVE-2022-22722 (оценка по шкале CVSS 7,5 балла из 10) – использование вшитых учетных данных, которые можно использовать для просмотра и манипулирования трафиком устройства.

CVE-2022-22723 и CVE-2022-22725 (оценка по шкале CVSS 8,8 балла из 10) – переполнение буфера, которое может привести к аварийному завершению работы программ или выполнению произвольного кода путем отправки особым образом сконфигурированных пакетов устройству по сети.

Компания Schneider Electric исправила уязвимости 11 января 2022 года.