Beveiligingsadvies NCSC-2024-0282 [1.00] [M/H] Kwetsbaarheden verholpen in Siemens Producten

Kwetsbaarheden Verholpen in Siemens Producten


Overzicht

Dit document biedt een samenvatting en diepgaande analyse van de recent verholpen kwetsbaarheden in Siemens producten. De officieel ondertekende PGP-versies van de advisories zijn leidend.


Kwetsbaarheden

Betrokken Siemens Producten

  • Mendix
  • RUGGEDCOM
  • SIMATIC
  • SINEMA
  • SIPROTEC
  • Engineering Platforms voor verschillende systemen

Categorieën van Kwetsbaarheden:

  • Improper Check for Unusual or Exceptional Conditions
  • Exposure of Sensitive Information to an Unauthorized Actor
  • Cross-site Scripting (XSS)
  • Exposure of Private Personal Information to Unauthorized Actors
  • Creation of Temporary File With Insecure Permissions
  • Use of Hard-coded, Security-relevant Constants
  • Privilege Defined With Unsafe Actions
  • Use of Password Hash With Insufficient Computational Effort
  • Improper Restriction of Excessive Authentication Attempts
  • Inadequate Encryption Strength
  • Truncation of Security-relevant Information
  • Exposure of Sensitive System Information to an Unauthorized Control Sphere
  • Improper Restriction of Operations within the Bounds of Memory Buffer
  • Uncontrolled Resource Consumption
  • NULL Pointer Dereference
  • Access of Resource Using Incompatible Type (Type Confusion)
  • Incorrect Authorization
  • Incorrect User Management
  • Unrestricted Upload of File with Dangerous Type
  • Forced Browsing
  • Improper Enforcement of Message Integrity
  • Client-Side Enforcement of Server-Side Security
  • Use of Weak Hash
  • Out-of-bounds Read
  • Stack-based Buffer Overflow
  • Resource Allocation Without Limits or Throttling
  • Incorrect Permission Assignment for Critical Resource
  • Improperly Controlled Sequential Memory Allocation
  • Deserialization of Untrusted Data
  • Out-of-bounds Write
  • Command Injection

Impact van de Kwetsbaarheden:

  • Denial-of-Service (DoS)
  • Manipulatie van gegevens
  • (Remote) code execution met administrator/root rechten
  • (Remote) code execution met gebruikersrechten
  • Toegang tot systeemgegevens
  • Toegang tot gevoelige gegevens
  • Verhoogde gebruikersrechten

Details

Publicatie en Versies: Publicatie Kans Schade Details
Gisteren Medium High NCSC-2024-0282 [1.00]

Specifieke Kwetsbaarheden en Versies:
De lijst omvat kwetsbaarheden zoals Improper Neutralization of Input During Web Page Generation (Cross-site Scripting), Inadequate Encryption Strength, en meer. Voor een gedetailleerde lijst en bijbehorende versies, zie de advisory pagina.

Betrokken Platforms en Productversies:

  • Siemens JT Open
  • Siemens Mendix Encryption
  • Siemens PLM XML SDK
  • Siemens PS IGES Parasolid Translator Component
  • Siemens RUGGEDCOM
  • Siemens RUGGEDCOM I800
  • Siemens RUGGEDCOM I800NC

Oplossingen:
Siemens heeft beveiligingsupdates en mitigerende maatregelen gepubliceerd om de risico’s van de kwetsbaarheden te beperken. Bezoek de volgende referenties voor meer informatie:

CVE’s:
Enkele van de gedekte CVE’s zijn:

Voor een uitgebreide lijst van alle betrokken CVE’s, raadpleeg de advisory pagina.


Gebruik van deze security advisory houdt in dat u akkoord gaat met de volgende voorwaarden. Hoewel het NCSC alle mogelijke zorg heeft betracht bij het samenstellen van dit beveiligingsadvies, kunnen zij niet instaan voor de volledigheid, juistheid of actualiteit van de informatie. De informatie in dit beveiligingsadvies is uitsluitend bedoeld voor algemene informatiedoeleinden voor professionele partijen. Aan deze informatie kunnen geen rechten worden ontleend.

Het NCSC en de Staat der Nederlanden zijn niet aansprakelijk voor enige schade voortvloeiend uit het gebruik van dit beveiligingsadvies. Op dit advies is Nederlands recht van toepassing, en geschillen zullen worden voorgelegd aan de rechter in Den Haag.


Voor meer informatie, bezoek de NCSC website.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl


Lees Hier de Laatste Updates uit Onze Securitylog