Logo NCSC
NCSC | Beveiligingsadviezen

Beveiligingsadviezen

Download

Beveilingsadvies; NCSC-2022-0632

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Siemens producten
Advisory ID     : NCSC-2022-0632
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2022-0778, CVE-2022-25622, CVE-2022-31765,
                  CVE-2022-31766, CVE-2022-36360, CVE-2022-36361,
                  CVE-2022-36362, CVE-2022-36363, CVE-2022-38465,
                  CVE-2022-40226, CVE-2022-40227, CVE-2022-40631,
                  CVE-2022-41665
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Cross-Site Scripting (XSS)
                  Denial-of-Service (DoS)
                  Omzeilen van authenticatie
                  (Remote) code execution (Administrator/Root rechten)
                  (Remote) code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
                  Toegang tot systeemgegevens
                  Verhoogde gebruikersrechten
Uitgiftedatum   : 20221011
Toepassing      : Siemens RUGGEDCOM
                  Siemens SCALANCE
                  Siemens SIMATIC
                  Siemens Logo! Modules
Versie(s)       :
Platform(s)     :

Beschrijving
   Siemens heeft kwetsbaarheden verholpen in onder andere RUGGEDCOM,
   SCALANCE, SIMATIC, en Logo!-producten. De kwetsbaarheden stellen een
   kwaadwillende mogelijk in staat aanvallen uit te voeren die leiden
   tot de volgende categorieën schade:

   * Cross-Site Scripting (XSS)
   * Denial-of-Service (DoS)
   * Omzeilen van authenticatie
   * (Remote) code execution (Administrator/Root rechten)
   * (Remote) code execution (Gebruikersrechten)
   * Toegang tot gevoelige gegevens
   * Toegang tot systeemgegevens
   * Verhoogde gebruikersrechten

   De kwetsbaarheid met kenmerk CVE-2022-38465 stelt een kwaadwillende
   in staat om een zwakke private key van de SIMATIC S7-1200 and
   S7-1500 CPU families te bemachtigen door middel van een aanval op
   een lokale apparaat. Dit stelt de kwaadwillende in staat om
   gevoelige informatie te bemachtingen van het apparaat die door deze
   private key beschermd wordt. Siemens adviseert om de beschikbare
   updates te installeren om de kwetsbaarheid te mitigeren. Daarnaast
   geeft Siemens aan dat het niet op de hoogte is van actief misbruik
   van deze kwetsbaarheid, maar dat de kans op misbruik in de toekomst
   aannemelijk is. Voor meer informatie over deze kwetsbaarheid, zie:

   https://cert-portal.siemens.com/productcert/pdf/ssb-898115.pdf

Mogelijke oplossingen
   Siemens heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen. Voor meer informatie, zie:

   https://cert-portal.siemens.com/productcert/pdf/ssa-280624.pdf
   https://cert-portal.siemens.com/productcert/pdf/ssa-384224.pdf
   https://cert-portal.siemens.com/productcert/pdf/ssa-446448.pdf
   https://cert-portal.siemens.com/productcert/pdf/ssa-501891.pdf
   https://cert-portal.siemens.com/productcert/pdf/ssa-552702.pdf
   https://cert-portal.siemens.com/productcert/pdf/ssa-568427.pdf
   https://cert-portal.siemens.com/productcert/pdf/ssa-572005.pdf
   https://cert-portal.siemens.com/productcert/pdf/ssa-697140.pdf
   https://cert-portal.siemens.com/productcert/pdf/ssa-928782.pdf
   https://cert-portal.siemens.com/productcert/pdf/ssa-955858.pdf


Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8

wsDVAwUBY0U+6RypWqw/ZiuAAQr2lwwAhCbkOQt92qbjVXseJPH9UD7C8/c7w8kn
IUY+TvEHWoMWDXvHrTBOVeMuJ+g+HhAg9IH85yBUmdupO8qLgRwgd8Vs8Pptijc5
ZBSYdjptX8ZLKglLAmrx67LcWDgz3MHM0b0pKmhLoQVhsAMLSHb4Nl+5JgEtZU09
SxEk3Amw4r3l7w1wWPGdnEtd8gztixiEUvuLVyWy0YndqlmPFMev3K+0SqUw3Svd
cisiA1we8WXETOFeRIY8jElNfmGoZNiAbKAdwuKvu06aBTUyoqwdCPzfR3v96brF
/EXGwGecrF9xm6dMBjQ4NeipyHS1GRNuJnoMxhdZ4VrI3IFymGU/oR7Uh/r8kmNN
P1MU1FwnfMAis374/A9dvXTdG+aK9zs1fzjugcWK1wdNGAtE4gFRtxmPDF2AA9ew
XMAEqjbwuN5ZXYBZdoK1mQZvLbr0ulcf3Qu6dF7zm8YHN938pUaOrp9Niw9UiFe/
Y3VDUwU6EvqkHvvoRGXyqb5Q469nbM96
=5c4G
-----END PGP SIGNATURE-----