-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Siemens producten Advisory ID : NCSC-2025-0357 Versie : 1.00 Kans : medium CVE ID : CVE-2023-30901, CVE-2023-31238, CVE-2023-45133, CVE-2024-0056, CVE-2024-32008, CVE-2024-32009, CVE-2024-32010, CVE-2024-32011, CVE-2024-32014, CVE-2025-2884, CVE-2025-40744, CVE-2025-40760, CVE-2025-40763, CVE-2025-40815, CVE-2025-40816, CVE-2025-40817, CVE-2025-40827 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') Out-of-bounds Read Incomplete List of Disallowed Inputs Generation of Error Message Containing Sensitive Information Incorrect Privilege Assignment Improper Certificate Validation Missing Authentication for Critical Function Cleartext Transmission of Sensitive Information Cross-Site Request Forgery (CSRF) Unprotected Alternate Channel Uncontrolled Search Path Element Incorrect Use of Privileged APIs Incorrect Comparison Incorrect Permission Assignment for Critical Resource Inclusion of Functionality from Untrusted Control Sphere Uitgiftedatum : 20251111 Toepassing : Siemens Altair Grid Engine Siemens COMOS Siemens INTRALOG WMS Siemens JT2Go (Application) Siemens LOGO! 12/24RCE (6ED1052-1MD08-0BA2) Siemens LOGO! 12/24RCEo (6ED1052-2MD08-0BA2) Siemens LOGO! 230RCE (6ED1052-1FB08-0BA2) Siemens LOGO! 230RCEo (6ED1052-2FB08-0BA2) Siemens LOGO! 24CE (6ED1052-1CC08-0BA2) Siemens LOGO! 24CEo (6ED1052-2CC08-0BA2) Siemens LOGO! 24RCE (6ED1052-1HB08-0BA2) Siemens LOGO! 24RCEo (6ED1052-2HB08-0BA2) Siemens POWER METER SICAM Q100 Siemens POWER METER SICAM Q100 (7KG9501-0AA01-0AA1) Siemens POWER METER SICAM Q100 (7KG9501-0AA01-2AA1) Siemens POWER METER SICAM Q100 (7KG9501-0AA31-0AA1) Siemens POWER METER SICAM Q100 (7KG9501-0AA31-2AA1) Siemens POWER METER SICAM Q200 family Siemens Power Meter Sicam Q100 Siemens Power Meter Sicam Q200 Firmware Siemens Q200 Firmware Siemens SICAM Siemens SICAM P850 (7KG8500-0AA00-0AA0) Siemens SICAM P850 (7KG8500-0AA00-2AA0) Siemens SICAM P850 (7KG8500-0AA10-0AA0) Siemens SICAM P850 (7KG8500-0AA10-2AA0) Siemens SICAM P850 (7KG8500-0AA30-0AA0) Siemens SICAM P850 (7KG8500-0AA30-2AA0) Siemens SICAM P850 (7KG8501-0AA01-0AA0) Siemens SICAM P850 (7KG8501-0AA01-2AA0) Siemens SICAM P850 (7KG8501-0AA02-0AA0) Siemens SICAM P850 (7KG8501-0AA02-2AA0) Siemens SICAM P850 (7KG8501-0AA11-0AA0) Siemens SICAM P850 (7KG8501-0AA11-2AA0) Siemens SICAM P850 (7KG8501-0AA12-0AA0) Siemens SICAM P850 (7KG8501-0AA12-2AA0) Siemens SICAM P850 (7KG8501-0AA31-0AA0) Siemens SICAM P850 (7KG8501-0AA31-2AA0) Siemens SICAM P850 (7KG8501-0AA32-0AA0) Siemens SICAM P850 (7KG8501-0AA32-2AA0) Siemens SICAM P850 Firmware (OS) Siemens SICAM P855 (7KG8550-0AA00-0AA0) Siemens SICAM P855 (7KG8550-0AA00-2AA0) Siemens SICAM P855 (7KG8550-0AA10-0AA0) Siemens SICAM P855 (7KG8550-0AA10-2AA0) Siemens SICAM P855 (7KG8550-0AA30-0AA0) Siemens SICAM P855 (7KG8550-0AA30-2AA0) Siemens SICAM P855 (7KG8551-0AA01-0AA0) Siemens SICAM P855 (7KG8551-0AA01-2AA0) Siemens SICAM P855 (7KG8551-0AA02-0AA0) Siemens SICAM P855 (7KG8551-0AA02-2AA0) Siemens SICAM P855 (7KG8551-0AA11-0AA0) Siemens SICAM P855 (7KG8551-0AA11-2AA0) Siemens SICAM P855 (7KG8551-0AA12-0AA0) Siemens SICAM P855 (7KG8551-0AA12-2AA0) Siemens SICAM P855 (7KG8551-0AA31-0AA0) Siemens SICAM P855 (7KG8551-0AA31-2AA0) Siemens SICAM P855 (7KG8551-0AA32-0AA0) Siemens SICAM P855 (7KG8551-0AA32-2AA0) Siemens SICAM P855 Firmware (OS) Siemens SIDIS Prime Siemens SIPLUS LOGO! 12/24RCE (6AG1052-1MD08-7BA2) Siemens SIPLUS LOGO! 12/24RCEo (6AG1052-2MD08-7BA2) Siemens SIPLUS LOGO! 230RCE (6AG1052-1FB08-7BA2) Siemens SIPLUS LOGO! 230RCEo (6AG1052-2FB08-7BA2) Siemens SIPLUS LOGO! 24CE (6AG1052-1CC08-7BA2) Siemens SIPLUS LOGO! 24CEo (6AG1052-2CC08-7BA2) Siemens SIPLUS LOGO! 24RCE (6AG1052-1HB08-7BA2) Siemens SIPLUS LOGO! 24RCEo (6AG1052-2HB08-7BA2) Siemens Sidis Prime Siemens Siemens SICAM Siemens Siemens Software Center Siemens Siveillance Video Siemens Siveillance Video 2022 R1 Siemens Siveillance Video 2022 R2 Siemens Siveillance Video 2022 R3 Siemens Siveillance Video 2023 R1 Siemens Siveillance Video 2023 R2 Siemens Siveillance Video 2023 R3 Siemens Solid Edge SE2025 Siemens Spectrum Power 4 Siemens Teamcenter Visualization Siemens q200_firmware Siemens ​Power Meter Sicam Q200 Family Versie(s) : Platform(s) : Beschrijving Siemens heeft kwetsbaarheden verholpen in diverse producten als Altair Grid Engine, COMOS, LOGO, SICAM, SIDOOR, SIMATIC, SIPLUS, Spectrum Power en Solid Edge. De kwetsbaarheden stellen een kwaadwillende mogelijk in staat aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade: - Denial-of-Service (DoS) - Manipulatie van gegevens - Omzeilen van een beveiligingsmaatregel - (Remote) code execution (root/admin rechten) - Toegang tot systeemgegevens - Toegang tot gevoelige gegevens - Verhogen van rechten De kwaadwillende heeft hiervoor toegang nodig tot de productieomgeving. Het is goed gebruik een dergelijke omgeving niet publiek toegankelijk te hebben. Mogelijke oplossingen Siemens heeft beveiligingsupdates uitgebracht om de kwetsbaarheden te verhelpen. Voor de kwetsbaarheden waar nog geen updates voor zijn, heeft Siemens mitigerende maatregelen gepubliceerd om de risico's zoveel als mogelijk te beperken. Zie de bijgevoegde referenties voor meer informatie. Referenties: Reference https://cert-portal.siemens.com/productcert/html/ssa-201498.html Reference https://cert-portal.siemens.com/productcert/html/ssa-267056.html Reference https://cert-portal.siemens.com/productcert/html/ssa-339694.html Reference https://cert-portal.siemens.com/productcert/html/ssa-514895.html Reference https://cert-portal.siemens.com/productcert/html/ssa-522291.html Reference https://cert-portal.siemens.com/productcert/html/ssa-682326.html Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmkTfToACgkQytTOqyR+ cF8OXAv+KX0rNTej6LqBpoiQ2xXl0a6/wZyIBV/TkQ4xma8QIqM6WGdbVUAsxaNw fmwbPA/Je+DBNWxwWfam2u9c1BNNTmezvug6Eg++Lbuefnsn/4GEIwf/1sbaoowF XlbVwWGeW6TUBuyXNeZ0c5mUFa+97Ov38BFBg9FWZR9JSQtklS9UlrvIGn45PJlp ESUyw477GNaSzLQ0UYFTkP1/FnWsfkKNpY3OgAFq/fxA+mNX7poFQ05crPdd3NG+ nNkHgIwV3d49mo0qumlQIvC13MKlcMtqCX96OTu7uOQpjYC9f7stnO8GJqwzyiGg sdZMDAmFJA0t28Jm8Mc0EHrTL1jQnjo+bTkkBi+j0XatKYlROhdv6hrvgrx7/LPB jllqdsjHXX+mH1bzjoRD6pXLmBEY2PQEpyJk4Me60bKRJdR1+i7pXH9FFaDQy63e +aOMG8cBi/KweVOtBtMv+pjoaJpr/q17evsLuOPIfKydkMQtEhGOexCiqz0j35SA eGIFTl/s =TCSi -----END PGP SIGNATURE-----