Download
Security Advisory; NCSC-2026-0225 [1.0.0]
- Security Advisory
- NCSC-2026-0225 [1.0.0]
- Publicatie
- 13-07-2026 07:25 (Europe/Amsterdam)
- Prioriteit
- Normaal
- Betreft
- Kwetsbaarheden verholpen in Siemens SICORE
Kenmerken
- Improper Authorization
- Insufficient Verification of Data Authenticity
- Uncontrolled Resource Consumption
- Active Debug Code
- Unverified Password Change
- Initialization of a Resource with an Insecure Default
Omschrijving
Siemens heeft kwetsbaarheden verholpen in SICORE Base systemen, specifiek in versies onder V26.20.
De kwetsbaarheden bevinden zich in meerdere onderdelen van de CPCI85 en SICORE Base systemen. Een kwetsbaarheid maakt het mogelijk voor een geauthenticeerde aanvaller om via een HTTP-toegankelijke debugging interface de webservice te laten crashen, wat leidt tot een denial-of-service. Daarnaast bevat de firmware update procedure een zwakte in de validatie van firmware handtekeningen, waardoor een aanvaller malafide firmware kan installeren en daarmee persistente code-uitvoering kan verkrijgen. Verder is er een configuratiefout waarbij alle OPC UA beveiligingsmechanismen standaard uitgeschakeld zijn, waardoor authenticatie en autorisatie kunnen worden omzeild en onbevoegde toegang tot kritieke systeemfuncties mogelijk is. Tot slot is er een kwetsbaarheid in de web API die onvoldoende validatie van authenticatiegegevens uitvoert bij wijzigingen aan administratieve accounts, wat een geauthenticeerde aanvaller in staat stelt om beveiligingscontroles te omzeilen en privileges te escaleren.
Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de productie-omgeving. Het is goed gebruik een dergelijke omgeving niet publiek toegankelijk te hebben.
Oplossingen
Siemens heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie.
Referenties
CVE's
- CVE-2026-54798 - CVSS (v4) 7.1
- CVE-2026-54799 - CVSS (v4) 10.0
- CVE-2026-54800 - CVSS (v4) 10.0
- CVE-2026-54801 - CVSS (v4) 8.6
Producten
Siemens
Disclaimer
The Netherlands Cyber Security Center (henceforth: NCSC-NL) maintains this page to enhance access to its information and security advisories. The use of this security advisory is subject to the following terms and conditions: NCSC-NL makes every reasonable effort to ensure that the content of this page is kept up to date, and that it is accurate and complete. Nevertheless, NCSC-NL cannot entirely rule out the possibility of errors, and therefore cannot give any warranty in respect of its completeness, accuracy or continuous keeping up-to-date. The information contained in this security advisory is intended solely for the purpose of providing general information to professional users. No rights can be derived from the information provided therein. NCSC-NL and the Kingdom of the Netherlands assume no legal liability or responsibility for any damage resulting from either the use or inability of use of this security advisory. This includes damage resulting from the inaccuracy of incompleteness of the information contained in the advisory. This security advisory is subject to Dutch law. All disputes related to or arising from the use of this advisory will be submitted to the competent court in The Hague. This choice of means also applies to the court in summary proceedings.