-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Siemens SICORE Advisory ID : NCSC-2026-0225 Versie : 1.00 Kans : medium CVE ID : CVE-2026-54798, CVE-2026-54799, CVE-2026-54800, CVE-2026-54801 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Authorization Insufficient Verification of Data Authenticity Uncontrolled Resource Consumption Active Debug Code Unverified Password Change Initialization of a Resource with an Insecure Default Uitgiftedatum : 20260713 Toepassing : Siemens CPCI85 Central Processing Communication, SICORE Base System Siemens SICORE Base system Versie(s) : Platform(s) : Beschrijving Siemens heeft kwetsbaarheden verholpen in SICORE Base systemen, specifiek in versies onder V26.20. De kwetsbaarheden bevinden zich in meerdere onderdelen van de CPCI85 en SICORE Base systemen. Een kwetsbaarheid maakt het mogelijk voor een geauthenticeerde aanvaller om via een HTTP-toegankelijke debugging interface de webservice te laten crashen, wat leidt tot een denial-of-service. Daarnaast bevat de firmware update procedure een zwakte in de validatie van firmware handtekeningen, waardoor een aanvaller malafide firmware kan installeren en daarmee persistente code-uitvoering kan verkrijgen. Verder is er een configuratiefout waarbij alle OPC UA beveiligingsmechanismen standaard uitgeschakeld zijn, waardoor authenticatie en autorisatie kunnen worden omzeild en onbevoegde toegang tot kritieke systeemfuncties mogelijk is. Tot slot is er een kwetsbaarheid in de web API die onvoldoende validatie van authenticatiegegevens uitvoert bij wijzigingen aan administratieve accounts, wat een geauthenticeerde aanvaller in staat stelt om beveiligingscontroles te omzeilen en privileges te escaleren. Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de productie-omgeving. Het is goed gebruik een dergelijke omgeving niet publiek toegankelijk te hebben. Mogelijke oplossingen Siemens heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://cert-portal.siemens.com/productcert/html/ssa-229470.html Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmpUdxkACgkQgupWoL0Z hGFmmAwAllnyR1WJWIppgBUn64FuGuCEmWCOu6FDoBav3S0zzCAv9jWyrJpVh99C 8ydemExSsTIAdxSCAzSR8Qu7tEe+5LHzmf9yy9jis/sxRkGsFnqPJ+2/jWot06fO 3oK/iNykuXOXsSiegn5Q9ZYi8lS+TEn0jdfAvbUGUCqU5LqUUG9RV5fkb6l4p/0N 5wS3sxRiDpu7QSaNHV4uzB8wpvFDinmitmHZ9Sd5eItCWcLUoh1e57Pzur4r787r mXDxfg+OOFviHbBH9Wv5Z6gicJUBXbu7hiUNmYXBCJ0YhAbco0pjjfyKOXmZlukh 90+L7cXiAJH2991w/JM1DckHdAklsitWTMUbANn5p8TJWWyNvgHjXSAEUsy9f9ux gDsgxmANoOKcp6F1l9vkToj+oSu5o8gL2vmu/hOjyBDB7h+tKz5VqC0jfPv96mgZ x9OVXighlR53U6vs55xQ0YlL+o79ClreScgtfBQQlAynASi9Dljfe3SfduHIMfFL xA/kZ1Uy =23Lv -----END PGP SIGNATURE-----