-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Siemens producten Advisory ID : NCSC-2023-0070 Versie : 1.00 Kans : medium CVE ID : CVE-2007-5846, CVE-2021-32936, CVE-2021-32938, CVE-2021-32948, CVE-2021-41771, CVE-2021-41772, CVE-2021-43336, CVE-2021-43391, CVE-2021-44716, CVE-2021-44717, CVE-2022-1292, CVE-2022-1343, CVE-2022-1434, CVE-2022-1473, CVE-2022-21198, CVE-2022-24675, CVE-2022-24921, CVE-2022-27536, CVE-2022-28327, CVE-2022-30774, CVE-2022-31243, CVE-2022-31808, CVE-2022-33906, CVE-2022-33907, CVE-2022-33908, CVE-2022-33982, CVE-2022-33984, CVE-2022-35868, CVE-2022-46345, CVE-2022-46346, CVE-2022-46347, CVE-2022-46348, CVE-2022-46349, CVE-2022-47936, CVE-2022-47977, CVE-2023-22295, CVE-2023-22321, CVE-2023-22354, CVE-2023-22669, CVE-2023-22670, CVE-2023-22846, CVE-2023-23579, CVE-2023-23835, CVE-2023-24482, CVE-2023-24549, CVE-2023-24550, CVE-2023-24551, CVE-2023-24552, CVE-2023-24553, CVE-2023-24554, CVE-2023-24555, CVE-2023-24556, CVE-2023-24557, CVE-2023-24558, CVE-2023-24559, CVE-2023-24560, CVE-2023-24561, CVE-2023-24562, CVE-2023-24563, CVE-2023-24564, CVE-2023-24565, CVE-2023-24566, CVE-2023-24581, CVE-2023-25140 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Denial-of-Service (DoS) Manipulatie van gegevens Omzeilen van beveiligingsmaatregel (Remote) code execution (Administrator/Root rechten) (Remote) code execution (Gebruikersrechten) Toegang tot systeemgegevens Verhoogde gebruikersrechten Uitgiftedatum : 20230214 Toepassing : Siemens SCALANCE Siemens TIA Server Siemens SiPass Siemens SIMATIC Siemens COMOS Siemens Brownfield Siemens JT Open Toolkit Siemens Mendix Siemens RuggedCom Siemens Solid Edge Versie(s) : Platform(s) : Beschrijving Siemens heeft kwetsbaarheden verholpen in onder andere Scalance, TIA, SiPass, SIMATIC, COMOS, Brownfield, JT Open Toolkit, Mendix, RuggedCom en Solid Edge. De kwetsbaarheden stellen een kwaadwillende mogelijk in staat aanvallen uit te voeren die leiden tot de volgende categorieën schade: * Denial-of-Service (DoS) * Manipulatie van gegevens * Omzeilen van een beveiligingsmaatregel * (Remote) code execution (Administrator/Root rechten) * (Remote) code execution (Gebruikersrechten) * Toegang tot systeemgegevens * Verhoogde gebruikersrechten Mogelijke oplossingen Siemens heeft beveiligingsupdates uitgebracht om de kwetsbaarheden te verhelpen. Voor de kwetsbaarheden waar nog geen updates voor zijn, heeft Siemens mitigerende maatregelen gepubliceerd om de risico's zoveel als mogelijk te beperken. Hieronder staat per primaire productgroep een overzicht van de door Siemens gepubliceerde advisories. Houd er rekening mee dat in elke advisory tevens producten uit andere productgroepen kunnen staan. Siemens Scalance: https://cert-portal.siemens.com/productcert/pdf/ssa-617755.pdf Siemens TIA: https://cert-portal.siemens.com/productcert/pdf/ssa-640968.pdf Siemens SiPass: https://cert-portal.siemens.com/productcert/pdf/ssa-658793.pdf Siemens SIMATIC: https://cert-portal.siemens.com/productcert/pdf/ssa-686975.pdf Siemens COMOS: https://cert-portal.siemens.com/productcert/pdf/ssa-693110.pdf Siemens Brownfield: https://cert-portal.siemens.com/productcert/pdf/ssa-744259.pdf https://cert-portal.siemens.com/productcert/pdf/ssa-953464.pdf JT Open Toolkit: https://cert-portal.siemens.com/productcert/pdf/ssa-836777.pdf Siemens Mendix: https://cert-portal.siemens.com/productcert/pdf/ssa-252808.pdf Siemens RuggedCom: https://cert-portal.siemens.com/productcert/pdf/ssa-450613.pdf Siemens Solid Edge: https://cert-portal.siemens.com/productcert/pdf/ssa-491245.pdf Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBY+uOxP4Vd0fJc7lbAQpY4AwApb91gc4hdaH+AEs6Z4KEkD/tGyEzx7Rh 14aMdJndZ+KQJbPlz7oxRLXY+zKuFyB/3mOYUUL6pUUXYTzSfjWoaczKQqH4FVny l/xss61OHiOhpMmQrD2A5uPX4lCWuOrRN1pGutGn6r5gJ0cWlQAL/iHOZCarILfT OjPKPQMSeYmhtJtwwjqVX3FNR4lD6hGJ5wUsL74pg1uVjMskS5jtpeOSAoW6qgkC gC4X8ykvpwVmctPAMN9BcXt3qvD9YF3+Mb1Qq5Gaf0VDCbWEFBFo7aUDpDoDhpui HaSAkLXYyjYlK0Ca2VW5EcOufiu36LGE8sRXefZaKcfuWoWUKlHB2R3ONRWqAbu0 UXICHv9wcdBo0d9UdYOxK2vaFeGTu1q+js7rFd4woZgfqEN9/x3Vvm0P2LfB04qH rRFPoVo96Fu8CPRkI4DX5MuBZLMh+IhBxgUU25j/yrwFBgKSe9GOsJYsYka5Ulls aDzJWr0ZfzjwT2UAoUTn4489lUl+s9dF =6v1n -----END PGP SIGNATURE-----