Beveiligingsadviezen van het NCSC
Citrix heeft twee kwetsbaarheden verholpen in Citrix Application Delivery Controller (ADC), Citrix Gateway en Citrix SD-WAN WANOP Edition. De kwetsbaarheden stellen een kwaadwillende op afstand in staat om een Denial-of-Service (DoS) te veroorzaken.
Siemens heeft kwetsbaarheden verholpen in WinCC. Een geauthenticeerde kwaadwillende kan de kwetsbaarheden misbruiken om een 'Path Traversal' uit te kunnen voeren en daarmee zich verhoogde rechten toe te eigenen, willekeurige bestanden te kunnen lezen en schrijven en daarmee gegevens te manipuleren en/of toegang te krijgen tot gevoelige gegevens. De kwetsbaarheid met kenmerk CVE-2021-40358 heeft van Siemens een CVSS score van 9.9 gekregen.
Siemens heeft kwetsbaarheden verholpen in Siemens SCALANCE produkten. Een kwaadwillende kan de kwetsbaarheden misbruiken om een Denial-of-Service te veroorzaken, of om toegang te krijgen tot gevoelige gegevens. Siemens werkt nog aan oplossingen voor diverse SCALANCE produkten die kwetsbaar zijn. Voor wanneer updates (nog) niet beschikbaar zijn, of niet ingezet kunnen worden, heeft Siemens mitigerende maatregelen gepubliceerd.
Draytek heeft een kwetsbaarheid verholpen in VigorConnect, de managementsoftware voor Draytek netwerkapparatuur. Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheid misbruiken om willekeurige bestanden te downloaden van het kwetsbare systeem en zo informatie te verzamelen over het onderliggende systeem. De informatie die daarmee verkregen kan worden kan mogelijk leiden tot vervolgschade of compromittatie van de infrastructuur.
Onderzoekers van Forescout hebben 13 kwetsbaarheden gevonden in de Siemens Nucleus NET stack. Dit is een netwerkstack die door zowel Siemens-producten als producten van andere leveranciers wordt gebruikt. De kwetsbaarheden hebben gezamenlijk de naam "NUCLEUS:13" gekregen. De kwetsbaarheden zijn aangetroffen in diverse componenten van Nucleus:
TCP/IP
UDP
ICMP
FTP en TFTP servers
DHCP
SAP heeft kwetsbaarheden verholpen in de volgende producten:
SAP ABAP Platform Kernel
SAP Commerce
SAP ERP Financial Accounting
SAP ERP HCM Portugal
SAP Focused
SAP GUI for Windows
SAP NetWeaver Application Server for ABAP and ABAP Platform
SAP Solution Manager
ISC heeft een kwetsbaarheid verholpen in BIND. Een ongeauthenticeerde kwaadwillende op afstand kan de kwetsbaarheid misbruiken om de performance van een BIND DNS-server aanzienlijk te beïnvloeden. Misbruik heeft tot gevolg dat het langer duurt voordat een client een antwoord van de DNS-server ontvangt en vergroot daarnaast de kans op time-outs.
