NCSC-2025-0106]1.00]]M/H] Risico’s vastgesteld in Siemens-goederen

door

 

Deze pagina zet de platte tekst van officiële advisories automatisch
om naar HTML. Hierbij kan mogelijk informatie verloren gaan. De Signed
PGP-versies zijn leidend.

Publicatie Kans Schade    
  Versie 1.00 vandaag NCSC-2025-0106  
 


medium


high

 
vandaag


medium


high

 NCSC-2025-0106 [1.00]
,

(),
Kenmerken

Kenmerken

  • Out-of-bounds Write
  • Improper Certificate Validation
  • Unverified Password Change
  • Improper Authentication
  • Improper Restriction of Operations within the Bounds of a Memory Buffer
  • Use of Hard-coded Credentials
  • Cross-Site Request Forgery (CSRF)
  • Unprotected Alternate Channel
  • Time-of-check Time-of-use (TOCTOU) Race Condition
  • Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)
  • Race Condition Enabling Link Following
  • Cleartext Transmission of Sensitive Information
  • Dependency on Vulnerable Third-Party Component
  • Concurrent Execution using Shared Resource with Improper Synchronization (‘Race Condition’)
  • Use After Free
  • Excessive Iteration
  • Expected Behavior Violation
  • Improper Control of Generation of Code (‘Code Injection’)
  • Missing Cryptographic Step
  • Improper Isolation or Compartmentalization
  • Improper Input Validation
  • Unchecked Input for Loop Condition
  • Improper Resource Shutdown or Release
  • Improper Privilege Management
  • Improper Validation of Integrity Check Value
  • Incorrect Provision of Specified Functionality
  • Heap-based Buffer Overflow
  • Observable Response Discrepancy
  • Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)
  • Weak Authentication
  • NULL Pointer Dereference
  • Exposure of Sensitive Information to an Unauthorized Actor
  • External Control of System or Configuration Setting
  • Use of a Broken or Risky Cryptographic Algorithm
  • Inefficient Regular Expression Complexity
  • Improper Check for Unusual or Exceptional Conditions
  • Missing Authentication for Critical Function
  • Uncontrolled Resource Consumption
  • Use of a Cryptographic Primitive with a Risky Implementation
Omschrijving

Omschrijving

Siemens heeft kwetsbaarheden verholpen in diverse producten als Industrial Edge Devices, Mendix, SENTRON, SIDIS, SIMATIC, SIPLUS,Insights Hub Private Cloud, Siemens License Server en Solid Edge. De kwetsbaarheden stellen een kwaadwillende mogelijk in staat aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade:

Denial-of-Service (DoS)
Manipulatie van gegevens
Omzeilen van een beveiligingsmaatregel
Omzeilen van authenticatie
(Remote) code execution (root/admin rechten)
(Remote) code execution (Gebruikersrechten)
Toegang tot systeemgegevens
Toegang tot gevoelige gegevens
Spoofing

De kwaadwillende heeft hiervoor toegang nodig tot de productieomgeving. Het is goed gebruik een dergelijke omgeving niet publiek toegankelijk te hebben.
Bereik

Bereik

Platforms Producten Versies

Siemens Industrial Edge Device Kit – arm64 V1.17
Siemens Industrial Edge Device Kit – arm64 V1.18
Siemens Industrial Edge Device Kit – arm64 V1.19
Siemens Industrial Edge Device Kit – arm64 V1.20
Siemens Industrial Edge Device Kit – arm64 V1.21
Siemens Industrial Edge Device Kit – x86-64 V1.17
Siemens Industrial Edge Device Kit – x86-64 V1.18
Siemens Industrial Edge Device Kit – x86-64 V1.19
Siemens Industrial Edge Device Kit – x86-64 V1.20
Siemens Industrial Edge Device Kit – x86-64 V1.21
Siemens Industrial Edge Own Device (IEOD)
Siemens License Server
Siemens Mendix Runtime
Siemens Mendix Runtime V10
Siemens Mendix Runtime V10.12
Siemens Mendix Runtime V10.18
Siemens Mendix Runtime V10.6
Siemens Mendix Runtime V8
Siemens Mendix Runtime V9
Siemens SENTRON 7KT PAC1260 Data Manager
Siemens SIDOOR ATD430W
Siemens SIDOOR ATE530G COATED
Siemens SIDOOR ATE530S COATED
Siemens SIMATIC CFU DIQ
Siemens SIMATIC CFU PA
Siemens SIMATIC ET 200AL IM 157-1 PN
Siemens SIMATIC ET 200M IM 153-4 PN IO HF
Siemens SIMATIC ET 200M IM 153-4 PN IO ST
Siemens SIMATIC ET 200MP IM 155-5 PN BA
Siemens SIMATIC ET 200MP IM 155-5 PN HF
Siemens SIMATIC ET 200MP IM 155-5 PN ST
Siemens SIMATIC ET 200S IM 151-3 PN FO
Siemens SIMATIC ET 200S IM 151-3 PN HF
Siemens SIMATIC ET 200S IM 151-3 PN HS
Siemens SIMATIC ET 200S IM 151-3 PN ST
Siemens SIMATIC ET 200S IM 151-8 PN/DP CPU
Siemens SIMATIC ET 200S IM 151-8F PN/DP CPU
Siemens SIMATIC ET 200SP CPU 1510SP F-1 PN
Siemens SIMATIC ET 200SP CPU 1510SP-1 PN
Siemens SIMATIC ET 200SP CPU 1512SP F-1 PN
Siemens SIMATIC ET 200SP CPU 1512SP-1 PN
Siemens SIMATIC ET 200SP IM 155-6 MF HF
Siemens SIMATIC ET 200SP IM 155-6 PN BA
Siemens SIMATIC ET 200SP IM 155-6 PN HA (incl. SIPLUS variants) Siemens SIMATIC ET 200SP IM 155-6 PN HF Siemens SIMATIC ET 200SP IM 155-6 PN HS Siemens SIMATIC ET 200SP IM 155-6 PN ST Siemens SIMATIC S7-400 H V6 CPU family (incl. SIPLUS variants) Siemens SIMATIC S7-400 PN/DP V7 CPU family (incl. SIPLUS variants) Siemens SIMATIC S7-410 V10 CPU family (incl. SIPLUS variants) Siemens SIMATIC S7-410 V8 CPU family (incl. SIPLUS variants) Siemens SIMOCODE pro V Ethernet/IP (incl. SIPLUS variants) Siemens SIMOCODE pro V PROFINET Siemens SINEC Network Management System Siemens SINUMERIK 840D sl Siemens SIPLUS ET 200M IM 153-4 PN IO HF Siemens SIPLUS ET 200M IM 153-4 PN IO ST Siemens SIPLUS ET 200MP IM 155-5 PN HF Siemens SIPLUS ET 200MP IM 155-5 PN HF T1 RAIL Siemens SIPLUS ET 200MP IM 155-5 PN ST Siemens SIPLUS ET 200MP IM 155-5 PN ST TX RAIL Siemens SIPLUS ET 200S IM 151-8 PN/DP CPU Siemens SIPLUS ET 200S IM 151-8F PN/DP CPU Siemens SIPLUS ET 200S IM151-3 PN HF Siemens SIPLUS ET 200S IM151-3 PN ST Siemens SIPLUS ET 200SP CPU 1512SP F-1 PN Siemens SIPLUS ET 200SP IM 155-6 PN HF Siemens SIPLUS ET 200SP IM 155-6 PN HF T1 RAIL Siemens SIPLUS ET 200SP IM 155-6 PN HF TX RAIL Siemens SIPLUS ET 200SP IM 155-6 PN ST Siemens SIPLUS ET 200SP IM 155-6 PN ST BA Siemens SIPLUS ET 200SP IM 155-6 PN ST BA TX RAIL Siemens SIPLUS ET 200SP IM 155-6 PN ST TX RAIL Siemens SIPLUS HCS4200 CIM4210 Siemens SIWAREX WP231 Siemens SIWAREX WP241 Siemens SIWAREX WP251 Siemens SIWAREX WP521 ST Siemens SIWAREX WP522 ST Siemens Siemens License Server (SLS) Siemens Siemens Simatic S7-1500 Tm Mfp Siemens Siemens Telecontrol Server Basic Siemens Solid Edge Siemens Solid Edge SE2024 Siemens Solid Edge SE2025 Siemens Solid_Edge_Se2024

<v1.21.1-1-a – <v1.21.1-1 – <v1.20.2-1 – <* – <* – <* – <v1.21.1-1 – <v1.20.2-1 – <* – <* – <* – <* – 4.0 – 4.1 – 4.2 – =3|<312 – <v224.0update12 – <v225.0update3 – <v2.0.0 – <v2.0 – <v2.0.0 – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <v1.3 – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <v8.3 – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – <* – 10.16.0 – <v10.21.0 – <* – <* – <* – <* – <v9.24.34
Oplossingen

Oplossingen

Siemens heeft beveiligingsupdates uitgebracht om de kwetsbaarheden te verhelpen. Voor de kwetsbaarheden waar nog geen updates voor zijn, heeft Siemens mitigerende maatregelen gepubliceerd om de risico’s zoveel als mogelijk te beperken. Zie de bijgevoegde referenties voor meer informatie. [] [] [] [] [] [] [] [] []
CVE’s

CVE’s

, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

  Versie 1.00 vandaag NCSC-2025-0106  
 


medium


high

 
vandaag


medium


high

 NCSC-2025-0106 [1.00]
,

(),

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade
ten gevolge van het gebruik of de onmogelijkheid van het gebruik
van dit beveiligingsadvies, waaronder begrepen schade ten gevolge
van de onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle
geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies
zullen worden voorgelegd aan de exclusief bevoegde rechter te Den
Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in
kort geding.

Plaats een reactie