-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in Siemens Producten
Advisory ID : NCSC-2024-0282
Versie : 1.00
Kans : medium
CVE ID : CVE-2022-32260, CVE-2023-7066, CVE-2023-27321,
CVE-2023-32735, CVE-2023-32737, CVE-2023-46720,
CVE-2023-48795, CVE-2023-52237, CVE-2023-52238,
CVE-2023-52891, CVE-2024-3596, CVE-2024-21754,
CVE-2024-23111, CVE-2024-26010, CVE-2024-30321,
CVE-2024-32055, CVE-2024-32056, CVE-2024-32057,
CVE-2024-32058, CVE-2024-32059, CVE-2024-32060,
CVE-2024-32061, CVE-2024-32062, CVE-2024-32063,
CVE-2024-32064, CVE-2024-32065, CVE-2024-32066,
CVE-2024-33577, CVE-2024-33653, CVE-2024-33654,
CVE-2024-37996, CVE-2024-37997, CVE-2024-38278,
CVE-2024-38867, CVE-2024-39567, CVE-2024-39568,
CVE-2024-39569, CVE-2024-39570, CVE-2024-39571,
CVE-2024-39675, CVE-2024-39865, CVE-2024-39866,
CVE-2024-39867, CVE-2024-39868, CVE-2024-39869,
CVE-2024-39870, CVE-2024-39871, CVE-2024-39872,
CVE-2024-39873, CVE-2024-39874, CVE-2024-39875,
CVE-2024-39876, CVE-2024-39888
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Improper Check for Unusual or Exceptional Conditions
Exposure of Sensitive Information to an Unauthorized
Actor
Improper Neutralization of Input During Web Page
Generation ('Cross-site Scripting')
Exposure of Private Personal Information to an
Unauthorized Actor
Creation of Temporary File With Insecure Permissions
Use of Hard-coded, Security-relevant Constants
Privilege Defined With Unsafe Actions
Use of Password Hash With Insufficient Computational
Effort
Improper Restriction of Excessive Authentication
Attempts
Inadequate Encryption Strength
Truncation of Security-relevant Information
Exposure of Sensitive System Information to an
Unauthorized Control Sphere
Improper Restriction of Operations within the Bounds
of a Memory Buffer
Uncontrolled Resource Consumption
NULL Pointer Dereference
Access of Resource Using Incompatible Type ('Type
Confusion')
Incorrect Authorization
Incorrect User Management
Unrestricted Upload of File with Dangerous Type
Direct Request ('Forced Browsing')
Improper Enforcement of Message Integrity During
Transmission in a Communication Channel
Client-Side Enforcement of Server-Side Security
Use of Weak Hash
Out-of-bounds Read
Incorrect Privilege Assignment
Stack-based Buffer Overflow
Allocation of Resources Without Limits or Throttling
Incorrect Permission Assignment for Critical Resource
Improperly Controlled Sequential Memory Allocation
Deserialization of Untrusted Data
Out-of-bounds Write
Improper Neutralization of Special Elements used in a
Command ('Command Injection')
Uitgiftedatum : 20240709
Toepassing : siemens jt_open
siemens mendix_encryption
siemens plm_xml_sdk
siemens ps_iges_parasolid_translator_component
siemens ruggedcom
siemens ruggedcom_i800
siemens ruggedcom_i800nc
Versie(s) :
Platform(s) :
Beschrijving
Siemens heeft kwetsbaarheden verholpen in diverse producten als
Mendix, RUGGEDOM, SIMATIC, SINEMA, SIPROTEC en de Engineering
Platforms voor diverse systemen.
De kwetsbaarheden stellen een kwaadwillende mogelijk in staat
aanvallen uit te voeren die kunnen leiden tot de volgende categorieën
schade:
- Denial-of-Service (DoS)
- Manipulatie van gegevens
- (Remote) code execution (Administrator/Root rechten)
- (Remote) code execution (Gebruikersrechten)
- Toegang tot systeemgegevens
- Toegang tot gevoelige gegevens
- Verhoogde gebruikersrechten
De kwaadwillende heeft hiervoor toegang nodig tot de
productieomgeving. Het is goed gebruik een dergelijke omgeving niet
publiek toegankelijk te hebben.
Mogelijke oplossingen
Siemens heeft beveiligingsupdates uitgebracht om de kwetsbaarheden te
verhelpen. Voor de kwetsbaarheden waar nog geen updates voor zijn,
heeft Siemens mitigerende maatregelen gepubliceerd om de risico's
zoveel als mogelijk te beperken. Zie de bijgevoegde referenties voor
meer informatie.
Referenties:
Reference - ncscclear; siemens
https://cert-portal.siemens.com/productcert/pdf/ssa-064222.pdf
Reference - ncscclear; siemens
https://cert-portal.siemens.com/productcert/pdf/ssa-088132.pdf
Reference - ncscclear; siemens
https://cert-portal.siemens.com/productcert/pdf/ssa-170375.pdf
Reference - ncscclear; siemens
https://cert-portal.siemens.com/productcert/pdf/ssa-313039.pdf
Reference - ncscclear; siemens
https://cert-portal.siemens.com/productcert/pdf/ssa-364175.pdf
Reference - ncscclear; siemens
https://cert-portal.siemens.com/productcert/pdf/ssa-381581.pdf
Reference - ncscclear; siemens
https://cert-portal.siemens.com/productcert/pdf/ssa-698820.pdf
Reference - ncscclear; siemens
https://cert-portal.siemens.com/productcert/pdf/ssa-722010.pdf
Reference - siemens
https://cert-portal.siemens.com/productcert/pdf/ssa-723487.pdf
Reference - ncscclear; siemens
https://cert-portal.siemens.com/productcert/pdf/ssa-750499.pdf
Reference - ncscclear; siemens
https://cert-portal.siemens.com/productcert/pdf/ssa-779936.pdf
Reference - ncscclear; siemens
https://cert-portal.siemens.com/productcert/pdf/ssa-824889.pdf
Reference - ncscclear; siemens
https://cert-portal.siemens.com/productcert/pdf/ssa-868282.pdf
Reference - ncscclear; siemens
https://cert-portal.siemens.com/productcert/pdf/ssa-883918.pdf
Reference - ncscclear; siemens
https://cert-portal.siemens.com/productcert/pdf/ssa-928781.pdf
Reference - ncscclear; siemens
https://cert-portal.siemens.com/productcert/pdf/ssa-998949.pdf
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=8wc2
-----END PGP SIGNATURE-----
