-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden gevonden in GE Cimplicity
Advisory ID : NCSC-2022-0615
Versie : 1.00
Kans : medium
CVE ID :
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : medium
(Remote) code execution (Gebruikersrechten)
Uitgiftedatum : 20220930
Toepassing : HMI/SCADA Cimplicity
Versie(s) :
Platform(s) :
Beschrijving
De Zero Day Initiative heeft informatie over kwetsbaarheden in
Cimplicity van GE gepubliceerd. De kwetsbaarheden doen zich voor
tijdens het verwerken van CIM files. Door gebrek aan goede
initializatie van de pointer kan een kwaadwillende willekeurige code
uit voeren binnen de context van het proces in de applicatie.
Om de kwetsbaarheden te misbruiken moet een kwaadwillende het
slachtoffer verleiden een malafide link of bestand te openen.
Mogelijke oplossingen
Op het moment van schrijven van dit advies zijn er nog geen updates
of mitigerende maatregelen door GE gepubliceerd. Het advies van het
Zero Day Initiative is om toegang tot de applicatie te beperken.
Dit beveiligingsadvies zal worden bijgewerkt als er nieuwe
informatie beschikbaar komt.
Voor meer informatie, zie onderstaande pagina's:
https://www.zerodayinitiative.com/advisories/ZDI-22-1319/
https://www.zerodayinitiative.com/advisories/ZDI-22-1320/
https://www.zerodayinitiative.com/advisories/ZDI-22-1321/
https://www.zerodayinitiative.com/advisories/ZDI-22-1322/
https://www.zerodayinitiative.com/advisories/ZDI-22-1323/
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=QXwH
-----END PGP SIGNATURE-----
