-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden ontdekt in Honeywell Experion Advisory ID : NCSC-2021-0867 Versie : 1.00 Kans : medium CVE ID : CVE-2021-38395, CVE-2021-38397, CVE-2021-38399 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Denial-of-Service (DoS) (Remote) code execution (Gebruikersrechten) Toegang tot gevoelige gegevens Uitgiftedatum : 20211006 Toepassing : Honeywell C300 controllers Honeywell Experion Versie(s) : Platform(s) : Beschrijving Honeywell meldt drie kwetsbaarheden te hebben aangetroffen in Experion Process Knowledge System (PKS) C200, C200E, C300 en ACE Controllers. Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheden mogelijk misbruiken voor het veroorzaken van een Denial-of-Service, het uitvoeren van willekeurige code op het kwetsbare systeem of om toegang te krijgen tot gevoelige gegevens op het kwetsbare systeem. Honeywell schaalt de kwetsbaarheid met kenmerk CVE-2021-38397 in met een CVSS score van 10.0, waarbij de kanttekening wordt gezet dat die score van toepassing is wanneer het kwetsbare systeem publiek toegankelijk is via het internet. Onder normale omstandigheden zijn dergelijke productiesystemen niet publiek toegankelijk. Mogelijke oplossingen Honeywell heeft updates uitgebracht voor de C300 controller v R510.2. Voor de oudere C300 controllers wordt nog gewerkt aan updates. Honeywell geeft aan dat voor de C200 en ACE controllers GEEN updates worden uitgebracht. Tevens heeft Honeywell adviezen gepubliceerd om de kwetsbaarheden te mitigeren. Voor meer informatie, zie: https://www.honeywellprocess.com/library/support/notifications /Customer/SN2021-02-22-01-Experion-C300-CCL.pdf https://us-cert.cisa.gov/ics/advisories/icsa-21-278-04 Aanvullende informatie kan voor gebruikers van de kwetsbare systemen worden verkregen via onderstaande (login) links: https://www.honeywellprocess.com/en-US/_layouts/honeywell/hps /login.aspx?ReturnUrl=%2flibrary%2fsupport%2f_layouts%2fAuthentic ate.aspx%3fSource%3d%252Flibrary%252Fsupport%252FDocuments%252FEx perion%252FNetwork%252Dand%252DSecurity%252DPlanning%252DGuide%25 2DEPDOC%252DXX75%252Den%252D511C%252Epdf&Source=%2Flibrary%2Fsupp ort%2FDocuments%2FExperion%2FNetwork%2Dand%2DSecurity%2DPlanning% 2DGuide%2DEPDOC%2DXX75%2Den%2D511C%2Epdf https://www.honeywellprocess.com/en-US/_layouts/honeywell/hps /login.aspx?ReturnUrl=%2flibrary%2fsupport%2f_layouts%2fAuthentic ate.aspx%3fSource%3d%252Flibrary%252Fsupport%252Fnotifications%25 2FCustomer%252FSN2021%252D02%252D22%252D01%252DExperion%252DC300% 252DCCL%252Epdf&Source=%2Flibrary%2Fsupport%2Fnotifications%2FCus tomer%2FSN2021%2D02%2D22%2D01%2DExperion%2DC300%2DCCL%2Epdf Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBYV2W4+Es56R4sCd0AQqj2gv/WFVicn3sdgO9wXp9PjvAH4KkLiWexKKi e1qLBCnBGJmWKvjz5Ccg2MuOZBf3LCNQJmxuT6s44Xz3DjdNeGc53CiWVGnuiZBJ Cuvs9g1Mw/8beB2anMsoRo0qfY/A5fqA7HGzYcG7kYkTUvNqy1MB0SA8gzKUr8Sz IKUuKLNMN0bBky3Ftm7DGUToD2vBQt4H/Zh2J4IElzNrCiyYtfw1J/KxsXQKBiP3 C6b4QCiD2CHNkBFDmaa5rd0Q0b9cia4wY+c5v+7/mx+5ztdTRGnJtKjjOZfSGmmk AY+fXifP53rnuI9bz2u2WwG1qtvE7IkeHs2x/z84dlBSgJ46XQ6EG7mwc3n3D3iW KubPHNIieanNuP4zJMmkKCgC2TcXsTjqALlA2oXeGCK0UZNQnMLNnCpsDDuiOSrn xqkOmqFeIpcRLSnkEctQt9ydlNReCwKYbJPZ3V3jaHOw9dcM9raA4hmMFKN7mvKt IUQESawqTFTaOSoTWM0ix8Wo5qgTVgfZ =7enD -----END PGP SIGNATURE-----