-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden in Siemens SIMATIC NET
Advisory ID : NCSC-2021-0487
Versie : 1.00
Kans : medium
CVE ID : CVE-2015-7705, CVE-2015-7853, CVE-2015-8138,
CVE-2016-1547, CVE-2016-1548, CVE-2016-1550,
CVE-2016-2518, CVE-2016-4953, CVE-2016-4954,
CVE-2016-4955, CVE-2016-4956, CVE-2016-7431,
CVE-2016-7433, CVE-2016-9042, CVE-2017-6458
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
Denial-of-Service (DoS)
(Remote) code execution (Gebruikersrechten)
Uitgiftedatum : 20210608
Toepassing : Siemens SIMATIC NET
Siemens SIMATIC S7
Versie(s) :
Platform(s) :
Beschrijving
Siemens heeft een aantal kwetsbaarheden geïdentificeerd in de
SIMATIC NET CP 443-1 OPC UA Communication Processor voor S7
systemen. De kwetsbaarheden bevinden zich allemaal in de NTP
implementatie en stellen een ongeauthenticeerde kwaadwillende in
staat om een Denial-of-Service te veroorzaken, of mogelijk
willekeurige code uit te voeren met rechten van het NTP proces.
De kwaadwillende dient hiervoor wel toegang te hebben tot de
infrastructuur waar de S7 systemen zijn geïmplementeerd. Het is goed
gebruik een dergelijke infrastructuur niet publiek toegankelijk te
hebben.
Siemens schaalt de kwetsbaarheden in met een CVSS v3.1 score en
geeft de ernstigste kwetsbaarheid een score van 9.8.
Mogelijke oplossingen
Er zijn (nog) geen updates beschikbaar om de kwetsbaarheden te
verhelpen.
Siemens heeft mitigerende maatregelen gepubliceerd om de risico's
van misbruik te verkleinen. Zie onderstaand document voor meer
informatie. Wanneer Siemens updates uitbrengt om de kwetsbaarheden
te verhelpen, zal dit beveiligingsadvies worden geactualiseerd.
https://cert-portal.siemens.com/productcert/pdf/ssa-211752.pdf
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=BWQu
-----END PGP SIGNATURE-----
