-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in Rockwell Automation Power Monitor 1000
Advisory ID : NCSC-2024-0495
Versie : 1.00
Kans : medium
CVE ID : CVE-2024-12371, CVE-2024-12372
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Unprotected Alternate Channel
Missing Authentication for Critical Function
Improper Control of Generation of Code ('Code
Injection')
Heap-based Buffer Overflow
Uitgiftedatum : 20241219
Toepassing :
Versie(s) :
Platform(s) : rockwellautomation powermonitor_1000_firmware
Beschrijving
Rockwell Automation heeft kwetsbaarheden verholpen in de Power
Monitor 1000.
De kwetsbaarheden bevinden zich in de API van de Power Monitor 1000,
waardoor ongeautoriseerde gebruikers nieuwe Policyholder-gebruikers
kunnen configureren met hoge privileges. Dit stelt aanvallers in
staat om bestaande gebruikers te bewerken, nieuwe beheerders aan te
maken en fabrieksinstellingen uit te voeren. Daarnaast kan een andere
kwetsbaarheid leiden tot heap-geheugenbeschadiging, wat mogelijk op
afstand uitvoeren van willekeurige code of Denial-of-Service-
omstandigheden kan veroorzaken.
Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de
productie-infrastructuur. Het is goed gebruik een dergelijke
infrastructuur niet publiek toegankelijk te hebben.
Mogelijke oplossingen
Rockwell Automation heeft updates uitgebracht om de kwetsbaarheden te
verhelpen. Zie bijgevoegde referenties voor meer informatie.
Referenties:
Reference - cveprojectv5; nvd
https://www.rockwellautomation.com/en-us/trust-center/security-
advisories/advisory.SD1714.html
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=XPPd
-----END PGP SIGNATURE-----
