Kwetsbaarheden Opgelost in Schneider Electric ASCO

Overzicht:
Schneider Electric heeft recent enkele beveiligingsproblemen opgelost in hun ASCO Annunciator-producten. Deze problemen zijn geïdentificeerd als ernstig en kunnen leiden tot verschillende veiligheidsrisico’s. Het is cruciaal voor gebruikers om op de hoogte te zijn van deze kwesties en de aanbevolen oplossingen te implementeren.

Publicatiegegevens:

• Versie: 1.00
• Datum van Publicatie: Vandaag
• NCSC Referentie: NCSC-2025-0056
• Risico Kans: Medium
• Schadepotentieel: Hoog

Specificaties van de Kwetsbaarheden:

• Resource Allocatie: Onbeperkte toewijzing van bronnen waardoor de functionaliteit van webservers kan worden aangetast.
• Gevaarlijke Bestandstypen: Mogelijkheid tot onbeperkte upload van gevaarlijke bestandstypen die de systeemintegriteit kunnen compromitteren.
• Onversleutelde Gegevensoverdracht: Gevoelige informatie kan zonder versleuteling worden verzonden, waardoor er kans bestaat op gegevensblootstelling bij onderschepping.
• Integriteitscontrole voor Code Downloads: Gebrek aan integriteitscontrole bij het downloaden van firmware, wat manipulatie mogelijk maakt.

Technische Beschrijving:

Deze kwetsbaarheden zijn ernstig van aard. De meest kritische kwetsbaarheid is het niet uitvoeren van integriteitscontroles voor gedownloade firmware, wat kan leiden tot de onbruikbaarheid van de apparaten. Ook belangrijk is het beheer van middelen zonder limieten, wat kan leiden tot functionele storingen.

Bereik:

De kwetsbaarheden zijn relevant voor de volgende producten:

• Schneider Electric ASCO 5310 Single-Channel Remote Annunciator
• Schneider Electric ASCO 5350 Eight-Channel Remote Annunciator

Er zijn geen specifieke versienummers vermeld waarmee deze problemen zijn geïdentificeerd.

Oplossingen:

Schneider Electric heeft patches en updates uitgebracht om deze problemen op te lossen. Het is sterk aan te raden dat gebruikers deze updates onmiddellijk toepassen om mogelijke uitbuiting te voorkomen. Zie de volgende link voor meer informatie over de updates.

Relevante CVE ID’s:

• CVE-2025-1058
• CVE-2025-1059
• CVE-2025-1060
• CVE-2025-1070

Deze ID’s bieden gedetailleerde technische informatie over de afzonderlijke kwetsbaarheden en zijn bereikbaar via de CVE-website.

Aansprakelijkheid Verklaring:

Gebruik van deze informatie impliceert acceptatie van de voorwaarden die het Nationaal Cyber Security Centrum (NCSC) heeft opgesteld. Het NCSC draagt zorg voor de nauwkeurigheid en actualiteit van deze advisories, maar kan geen garanties bieden. Eventuele schade als gevolg van het gebruik van deze adviezen valt buiten de verantwoordelijkheid van het NCSC en de Nederlandse Staat. Geschillen die voortvloeien uit het gebruik van dit advies vallen onder de rechtsmacht van de gerechtsinstellingen in Den Haag.

Gebruikers worden aangemoedigd om te controleren of hun productie-omgevingen ontoegankelijk zijn voor het publiek en om gepaste beveiligingsmaatregelen te implementeren, zoals aanbevolen door Schneider Electric.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----