{
  "document" : {
    "aggregate_severity" : {
      "text" : "mittel"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "Die SIMATIC S7 ist eine Serie von SPS (Speicherprogrammierbare Steuerungen) für Automatisierungsanwendungen.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein physischer Angreifer kann eine Schwachstelle in Siemens SIMATIC S7 ausnutzen, um beliebigen Programmcode auszuführen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- BIOS/Firmware",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2023-0047 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0047.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2023-0047 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0047"
    }, {
      "category" : "external",
      "summary" : "Siemens Security Advisory vom 2023-01-09",
      "url" : "https://cert-portal.siemens.com/productcert/pdf/ssa-482757.pdf"
    } ],
    "source_lang" : "en-US",
    "title" : "Siemens SIMATIC S7: Schwachstelle ermöglicht Codeausführung",
    "tracking" : {
      "current_release_date" : "2023-01-09T23:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T17:40:58.881+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2023-0047",
      "initial_release_date" : "2023-01-09T23:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2023-01-09T23:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      } ],
      "status" : "final",
      "version" : "1"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "category" : "product_name",
        "name" : "Siemens SIMATIC S7 1500 CPU",
        "product" : {
          "name" : "Siemens SIMATIC S7 1500 CPU",
          "product_id" : "T025776",
          "product_identification_helper" : {
            "cpe" : "cpe:/h:siemens:simatic_s7:1500_cpu"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "Siemens"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2022-38773",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in Siemens SIMATIC S7. Der Fehler besteht, weil die betroffenen Geräte keine unveränderliche Vertrauensbasis (Immutable Root of Trust) in der Hardwarekomponente enthalten. Dies führt zu einer unsachgemäßen Validierung der Integrität des ausgeführten Codes. Ein physischer Angreifer kann diese Schwachstelle ausnutzen, um das Boot-Image des Geräts zu ersetzen und beliebigen Code auszuführen."
    } ],
    "product_status" : {
      "known_affected" : [ "T025776" ]
    },
    "release_date" : "2023-01-09T23:00:00.000+00:00",
    "title" : "CVE-2022-38773"
  } ]
}