-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden in Siemens SIMATIC NET Advisory ID : NCSC-2021-0487 Versie : 1.00 Kans : medium CVE ID : CVE-2015-7705, CVE-2015-7853, CVE-2015-8138, CVE-2016-1547, CVE-2016-1548, CVE-2016-1550, CVE-2016-2518, CVE-2016-4953, CVE-2016-4954, CVE-2016-4955, CVE-2016-4956, CVE-2016-7431, CVE-2016-7433, CVE-2016-9042, CVE-2017-6458 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: http://cve.mitre.org/cve/) Schade : high Denial-of-Service (DoS) (Remote) code execution (Gebruikersrechten) Uitgiftedatum : 20210608 Toepassing : Siemens SIMATIC NET Siemens SIMATIC S7 Versie(s) : Platform(s) : Beschrijving Siemens heeft een aantal kwetsbaarheden geïdentificeerd in de SIMATIC NET CP 443-1 OPC UA Communication Processor voor S7 systemen. De kwetsbaarheden bevinden zich allemaal in de NTP implementatie en stellen een ongeauthenticeerde kwaadwillende in staat om een Denial-of-Service te veroorzaken, of mogelijk willekeurige code uit te voeren met rechten van het NTP proces. De kwaadwillende dient hiervoor wel toegang te hebben tot de infrastructuur waar de S7 systemen zijn geïmplementeerd. Het is goed gebruik een dergelijke infrastructuur niet publiek toegankelijk te hebben. Siemens schaalt de kwetsbaarheden in met een CVSS v3.1 score en geeft de ernstigste kwetsbaarheid een score van 9.8. Mogelijke oplossingen Er zijn (nog) geen updates beschikbaar om de kwetsbaarheden te verhelpen. Siemens heeft mitigerende maatregelen gepubliceerd om de risico's van misbruik te verkleinen. Zie onderstaand document voor meer informatie. Wanneer Siemens updates uitbrengt om de kwetsbaarheden te verhelpen, zal dit beveiligingsadvies worden geactualiseerd. https://cert-portal.siemens.com/productcert/pdf/ssa-211752.pdf Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBYL9lQ+Es56R4sCd0AQrklgv+IbuF2HWU1KotwdV5LceZOa7AO4LU87Sh BE7lRzbjnDFYuYdeEAhHZebp4lwaqbztMrDk4KFyFS51q6n3lLFUwCq6VpvU3VMm 3bmLVLIIc4b42+cphFUnshABNtnqqORW+3hCdvcEWZL1xMUbmY3/MVPiiOK0xmSu hgPRfb0Qxj+HV04yjJOTeKg/Q/BRc5phtmwbINfYIKcDSDuKrTau88njoTd5sTh9 02A5MBz3kP8nel5fhmTWW44FfilLOR1Ytn/nPR9WcA80UbVhMq6gc3iY3oCjKHLb cXkGnbWNyG9vjkZZQElbnuOwZkbYqIO+DlVeCZsHdSimsgKy5I1npZA2URxBL8Je PGL5Ivc0scd4kV0Cusc9IrkHTH3BhvQn+YRk3oycPYB5RTG7hv4vgQy7SdqVvqEt cvJCyqBLFBRhLcpIdSC6wTgBXa0Vj1wAo8nOHu5EO4N9/46zfPuo19hZ50awdK7V j7bdLtIluIbRxeSjzhe4MiSsrm5c4qGX =BWQu -----END PGP SIGNATURE-----