Koelman.IT

Stay Hungry, Stay Foolish 💡


Beveiligingsadvies NCSC-2025-0106 [1.00] [M/H] Kwetsbaarheden verholpen in Siemens producten

Informatie over Kwetsbaarheden in Siemens-producten

Overzicht

In de nieuwste beveiligingsupdate heeft Siemens verschillende kwetsbaarheden opgelost in een aantal van hun producten. Deze beveiligingslekken, indien misbruikt, zouden verschillende soorten risico’s met zich mee kunnen brengen, van gegevensmanipulatie tot het omzeilen van beveiligingsmechanismen.

Kwetsbaarheden

De volgende kwetsbaarheden zijn geïdentificeerd en, indien van toepassing, verholpen in de producten van Siemens:

  • Out-of-bounds Write: Geheugenbeschadiging door te schrijven buiten de grenzen van een toegewezen buffer.
  • Improper Certificate Validation: Ondeskundige validatie van certificaten kan ongeautoriseerde toegang mogelijk maken.
  • Unverified Password Change: Wijzigingen aan wachtwoorden zonder verificatie.
  • Improper Authentication: Gebrekkige authenticatieprocedures.
  • Cross-Site Request Forgery (CSRF): Aanvallers kunnen gebruikersacties zonder hun medeweten uitvoeren.
  • Diverse andere kwetsbaarheden zoals Use of Hard-coded Credentials, Improper Neutralization of Special Elements, en Use After Free.

Gevolgen van de Kwetsbaarheden

De geïdentificeerde kwetsbaarheden zouden gevolgen kunnen hebben zoals:

  • Denial-of-Service (DoS): Systeembeschikbaarheid kan verstoord worden.
  • Manipulatie van gegevens: Ongeoorloofde toegang kan leiden tot wijziging van belangrijke gegevens.
  • Omzeilen van authenticatie: Onbevoegde toegang tot beschermde systemen.
  • Remote Code Execution: Een aanvaller kan op afstand kwaadaardige code uitvoeren met gebruikers- of beheerdersrechten.
  • Toegang tot gevoelige gegevens: Mogelijkheid voor een aanvaller om vertrouwelijke informatie te verkrijgen.
  • Spoofing: Het imiteren van legitieme gebruikers of systemen.

Betrokken Producten

Enkele van de betrokken producten zijn:

  • Siemens Industrial Edge Devices
  • Mendix Runtime
  • Siemens LICENSES en SENTRON
  • SIMATIC, SIPLUS en Insights Hub Private Cloud

De kwetsbaarheden treffen specifieke versies van deze producten. Voor een exacte lijst van getroffen varianten, zie de referenties.

Oplossingen en Mitigerende Maatregelen

Siemens heeft beveiligingsupdates uitgebracht om deze kwetsbaarheden te patchen. Gebruikers worden sterk aangeraden deze updates zo snel mogelijk te installeren. Indien updates niet beschikbaar zijn, heeft Siemens mitigerende maatregelen voorgeschreven om de risico’s tot een minimum te beperken.

Meer gedetailleerde informatie en beveiligingshandleidingen zijn beschikbaar via hun officiële portals:

CVE-referenties

De kwetsbaarheden zijn beschreven onder verschillende CVE-nummers zoals:

Een volledige lijst van CVE-referenties is te vinden in het beveiligingsadvies van Siemens.

Het gebruik van deze informatie houdt in dat u akkoord gaat met de voorwaarden van het NCSC. Ondanks de inspanningen voor nauwkeurigheid, is er geen garantie op volledigheid of foutloosheid van de gegevens in het advies. Het NCSC en de Staat zijn niet verantwoordelijk voor enige schade voortvloeiend uit het gebruik van deze informatie.

Voor meer gedetailleerde informatie kunt u contact opnemen met een beveiligingsprofessional of Siemens zelf raadplegen voor productondersteuning.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----