CRITICAL🇬🇧 English

CVE-2023-46141

Phoenix Contact: nieuprawniony zdalny dostęp do urządzeń linii klasycznej

CVSS 9.8v3.1pub. 2023-12-14upd. 2024-11-21

Podatność w produktach Phoenix Contact z linii klasycznej umożliwia zdalnemu, nieuwierzytelnionemu atakującemu uzyskanie pełnego dostępu do urządzenia. Ze względu na brak wymagań co do uwierzytelnienia i sieciowy wektor ataku, zagrożenie jest krytyczne szczególnie w środowiskach przemysłowych (OT/ICS).

Pokaż oryginał (EN)

Incorrect Permission Assignment for Critical Resource vulnerability in multiple products of the PHOENIX CONTACT classic line allow an remote unauthenticated attacker to gain full access of the affected device.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowego przypisania uprawnień do zasobów krytycznych (CWE-732). W wyniku błędnie skonfigurowanych lub niewystarczająco restrykcyjnych uprawnień do kluczowych zasobów systemowych, atakujący może uzyskać do nich dostęp bez konieczności uwierzytelnienia. Atak jest możliwy zdalnie przez sieć, bez interakcji użytkownika i bez żadnych wymagań wstępnych po stronie atakującego.

Skutki

Atakujący może uzyskać pełną kontrolę nad podatnym urządzeniem, co obejmuje odczyt i modyfikację konfiguracji, manipulację procesami sterowania oraz potencjalne zakłócenie lub zatrzymanie działania instalacji przemysłowej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://cert.vde.com/en/advisories/VDE-2023-055/). Do czasu wdrożenia aktualizacji zaleca się izolację sieciową podatnych urządzeń, ograniczenie dostępu do nich wyłącznie do zaufanych hostów za pomocą firewall oraz unikanie bezpośredniego wystawiania urządzeń na publiczne sieci.

Kogo dotyczy

Phoenix Contact Automation Worx Software Suite, Phoenix Contact AXC 1050 (Firmware), Phoenix Contact AXC 1050 XC (Firmware) — dokładne wersje wskazane w referencjach producenta (CERT@VDE VDE-2023-055)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Phoenixcontact Automationworx Software Suite

    APP
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Axc 1050

    HW
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Axc 1050 Firmware

    OS
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Axc 1050 Xc

    HW
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Axc 1050 Xc Firmware

    OS
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Axc 3050

    HW
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Axc 3050 Firmware

    OS
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Config\+

    APP
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Fc 350 Pci Eth

    HW
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Fc 350 Pci Eth Firmware

    OS
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Ilc1x0

    HW
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Ilc1x0 Firmware

    OS
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Ilc1x1

    HW
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Ilc1x1 Firmware

    OS
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Ilc 3xx

    HW
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Ilc 3xx Firmware

    OS
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Pc Worx

    APP
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Pc Worx Express

    APP
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Pc Worx Rt Basic

    HW
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Pc Worx Rt Basic Firmware

    OS
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Pc Worx Srt

    APP
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Rfc 430 Eth Ib

    HW
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Rfc 430 Eth Ib Firmware

    OS
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Rfc 450 Eth Ib

    HW
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Rfc 450 Eth Ib Firmware

    OS
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Rfc 460r Pn 3tx

    HW
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Rfc 460r Pn 3tx Firmware

    OS
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Rfc 470s Pn 3tx

    HW
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Rfc 470s Pn 3tx Firmware

    OS
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Rfc 480s Pn 4tx

    HW
    Phoenixcontact
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2022-31800CRITICAL9.8ten sam produkt

An unauthenticated, remote attacker could upload malicious logic to devices based on ProConOS/ProConOS eCLR in...

CVE-2019-9201CRITICAL9.8ten sam produkt

Multiple Phoenix Contact devices allow remote attackers to establish TCP sessions to port 1962 and obtain sens...

CVE-2023-46143HIGH7.5ten sam produkt

Download of Code Without Integrity Check vulnerability in PHOENIX CONTACT classic line PLCs allows an unauthen...

CVE-2022-3737HIGH7.8ten sam produkt

In PHOENIX CONTACT Automationworx Software Suite up to version 1.89 memory can be read beyond the intended sco...

CVE-2022-3461HIGH7.8ten sam produkt

In PHOENIX CONTACT Automationworx Software Suite up to version 1.89 manipulated PC Worx or Config+ files could...