-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden gevonden in GE Cimplicity Advisory ID : NCSC-2022-0615 Versie : 1.00 Kans : medium CVE ID : (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : medium (Remote) code execution (Gebruikersrechten) Uitgiftedatum : 20220930 Toepassing : HMI/SCADA Cimplicity Versie(s) : Platform(s) : Beschrijving De Zero Day Initiative heeft informatie over kwetsbaarheden in Cimplicity van GE gepubliceerd. De kwetsbaarheden doen zich voor tijdens het verwerken van CIM files. Door gebrek aan goede initializatie van de pointer kan een kwaadwillende willekeurige code uit voeren binnen de context van het proces in de applicatie. Om de kwetsbaarheden te misbruiken moet een kwaadwillende het slachtoffer verleiden een malafide link of bestand te openen. Mogelijke oplossingen Op het moment van schrijven van dit advies zijn er nog geen updates of mitigerende maatregelen door GE gepubliceerd. Het advies van het Zero Day Initiative is om toegang tot de applicatie te beperken. Dit beveiligingsadvies zal worden bijgewerkt als er nieuwe informatie beschikbaar komt. Voor meer informatie, zie onderstaande pagina's: https://www.zerodayinitiative.com/advisories/ZDI-22-1319/ https://www.zerodayinitiative.com/advisories/ZDI-22-1320/ https://www.zerodayinitiative.com/advisories/ZDI-22-1321/ https://www.zerodayinitiative.com/advisories/ZDI-22-1322/ https://www.zerodayinitiative.com/advisories/ZDI-22-1323/ Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBYzb4/BypWqw/ZiuAAQpFBAwAiC37s6AWtKqyh4CsvLLNLsJhdPqjyQ9a dST+OKqQLAACulKXGUY+ku5l1YjJlumdXl5X6d7Al3pkpqpN3cPLjnEAOiF46M7E p6acpZnLvmUxQBao5zKJsbfOi7zkQ8JkcYPInJmzoZcnoCSK9mJPlqqBMKNQUzv7 mWK68tg3l3hp04SEbJcBDJBCGehhAdOXEtAKfi6fsREvvfk0vWck6zIzK5o4b3FO EFK7NPeif11XwLocGu1DuzvgT+Q0CjWsl4DSj79sUewtmE0ZRm8d9B0M1gRjmB1R ZyR2aNPNyGC0JAmc1d0lGwHswLZleYiyKuqUmVeTXJvhSt/TNrXmnOw03dUPRifA P1T1RlO7r3JNPl7ps80rYc0IFRAkhXY14JDogzAVvnq2TCk53baxvTvTMY20ojC+ Tnq3wk6Ae0ikno/w3fYh90MxshBPbEMKyrAjGrlSZKx/C75cMIdrGLFF1ciwL12S mNpWuGS65MDu4rAhmnqRk9JkroLg/cv/ =QXwH -----END PGP SIGNATURE-----