Quelles autorisations peuvent être accordées à RATP et SNCF cette…

Ukraine sur la bonne voie pour partir à la réunion de Sottawa pour…

Un adolescent de 16 ans meurt en baignant dans une rivière dans les…

Logiciels

Des failles de sécurité trouvées dans des logiciels industriels largement utilisés

Lire aussi :

Les actions de HubSpot chutent de 12 % après…

Un nouveau groupe de ransomware exploite la vulnérabilité du…

Un chercheur de l’équipe de renseignement sur les menaces Talos de Cisco a découvert huit vulnérabilités dans la plate-forme Open Automation Software (OAS) qui, si elles sont exploitées, pourraient permettre à un acteur malveillant d’accéder à un appareil et d’exécuter du code sur un système ciblé.

La plate-forme OAS est largement utilisée par un éventail d’entreprises industrielles, facilitant essentiellement le transfert de données au sein d’un environnement informatique entre le matériel et les logiciels et jouant un rôle central dans les efforts industriels de l’Internet des objets (IIoT) des organisations. Il touche une gamme d’appareils, y compris les automates programmables, les OPC et les appareils IoT, ainsi que les applications et API personnalisées, les bases de données et les systèmes de périphérie.

Des entreprises comme Volvo, General Dynamics, JBT Aerotech et le fabricant d’éoliennes AES font partie des utilisateurs de la plateforme OAS.

Les vulnérabilités ne sont que la dernière cybermenace dans un secteur industriel qui est devenu une cible plus importante pour les acteurs malveillants ces dernières années, comme l’illustrent ces attaques de rançongiciels très médiatisées contre des entreprises comme le fournisseur d’énergie Colonial Pipeline et le transformateur mondial de viande JBS Foods.

Ces failles de sécurité sont devenues une telle préoccupation que l’Agence américaine pour la cybersécurité et les infrastructures (CISA) et d’autres bureaux gouvernementaux ont mis en garde les entreprises industrielles et d’infrastructures critiques contre la menace croissante, en particulier à la suite de l’invasion non provoquée par la Russie de l’Ukraine voisine en février.

Deux des failles découvertes par le chasseur de menaces Talos Jared Rittle portent des notes critiques. L’un, suivi comme CVE-2022-26833 avec un score de gravité CVSS de 9,4 sur 10, permettrait à un mauvais acteur d’exploiter la faille dans une API REST sur la plate-forme et de modifier la configuration de la plate-forme, ont écrit les chercheurs dans un article de blog. cette semaine.

Cela permettrait à l’attaquant d’effectuer des tâches telles que la lecture des noms d’utilisateur, de la configuration et des groupes existants, la création d’un nouveau groupe de sécurité et d’un utilisateur avec de larges autorisations et la modification des ports utilisés par divers services OAS. La faille pourrait être exploitée en envoyant une série de requêtes HTTP spécialement conçues aux appareils ciblés.

Un autre, suivi comme CVE-2022-26082 avec un score de gravité de 9,1, ouvre la plate-forme à une attaque d’exécution de code à distance (RCE), qui permettrait à un attaquant d’exécuter du code arbitraire sur le système ciblé. La faille existe dans la fonctionnalité OAS Engine SecureTransferFiles et un mauvais cybercriminel peut l’exploiter en envoyant une séquence de requêtes réseau.

« Avant que le transfert d’un fichier ne soit accepté, il est nécessaire qu’un groupe de sécurité avec des autorisations de transfert de fichiers et un compte d’utilisateur dans ce groupe existent », ont écrit les chercheurs. « Le groupe de sécurité et le compte d’utilisateur mentionnés ici sont des éléments de la plate-forme OAS, et non de la machine Linux sous-jacente. »

Si un groupe de sécurité et un compte d’utilisateur acceptables existent déjà, l’attaquant peut obtenir les informations d’identification nécessaires sur le réseau et l’utilisateur pour le transfert. S’ils n’existent pas, l’attaquant devrait les créer avant de pouvoir exploiter la vulnérabilité, ont-ils écrit. Une fois que le mauvais acteur obtient les informations d’identification, il peut exécuter son code sur le système Linux.

Deux autres vulnérabilités (CVE-2022-27169 et CVE-2022-26067) permettraient à l’attaquant d’envoyer une requête réseau spécifique pour obtenir une liste de répertoires, tandis qu’une autre faille (CVE-2022-26077) lui permettrait d’envoyer des requêtes similaires pour obtenir une liste de noms d’utilisateur et de mots de passe qui pourraient être utilisés dans de futures attaques sur la plate-forme OAS.

Les acteurs malveillants peuvent exploiter une autre faille (CVE-2022-26026) en envoyant une requête réseau qui entraînerait un déni de service et une perte de communication et à travers deux autres (CVE-2022-26303 et CVE-2022-26043) rendre externe modifications de configuration, telles que la création d’un nouveau groupe de sécurité et de comptes d’utilisateurs.

Cisco a travaillé avec OAS pour résoudre les vulnérabilités. OAS a publié une mise à jour de sa plateforme et Talos a répertorié une série de mesures d’atténuation que les entreprises peuvent prendre pour y faire face.

Dans un courriel à Le registreChris Clements, vice-président de l’architecture des solutions pour la société de cybersécurité Cerberus Sentinel, a déclaré que les failles affectant les dispositifs de contrôle industriels « sont parmi les menaces de cybersécurité les plus effrayantes aujourd’hui. Un attaquant ayant la capacité de perturber ou de modifier le fonctionnement de ces dispositifs peut infliger des dommages catastrophiques à installations d’infrastructures critiques, mais une attaque peut aussi être quelque chose qui peut ne pas être immédiatement évident. »

Clemente a souligné le ver Stuxnet très médiatisé, qui n’a pas immédiatement cassé ces appareils, mais a modifié leur fonction de manière à les amener à échouer tout en signalant aux systèmes de surveillance que tout fonctionnait normalement. Il a également noté que la mise hors ligne de ces systèmes peut être perturbatrice, ce qui peut amener certaines organisations à reporter leur mise à jour pendant des mois ou des années. De plus, des techniques telles que l’isolement de ces systèmes à partir d’Internet peuvent aider à les protéger contre les attaques, mais ne sont pas infaillibles.

« Dans certains cas [air gaps] peut être une arme à double tranchant », a déclaré Clements. « Des périphériques USB malveillants ont été exploités à plusieurs reprises pour propager des logiciels malveillants sur des réseaux isolés, et à moins que des considérations particulières n’aient été prises pour effectuer des correctifs de sécurité sur le réseau isolé, le code malveillant se retrouve souvent dans un environnement propice à l’exploitation. »

Les entreprises doivent également s’assurer qu’elles renforcent leurs systèmes, corrigent si nécessaire et disposent de systèmes secondaires pour se protéger contre la mise hors ligne d’autres personnes, a-t-il déclaré.

En avril, la CISA et d’autres agences ont averti que des groupes de menaces créaient des outils personnalisés pour contrôler les systèmes de contrôle industriel et les dispositifs SCADA, faisant partie de la menace plus large contre les entreprises d’infrastructures critiques.

Les entreprises du secteur privé s’efforcent également de renforcer la sécurité autour de ces systèmes, notamment en créant l’Operational Technology Cybersecurity Coalition, qui comprend un mélange d’entreprises comme Honeywell et Coca-Cola et de fournisseurs de cybersécurité, tels que Fortinet et Check Point.

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Les actions de HubSpot chutent de 12 % après qu’Alphabet ait…

Un nouveau groupe de ransomware exploite la vulnérabilité du logiciel…

Comment les équipes de plateformes créent des entreprises meilleures,…

Datadog (NASDAQ:DDOG) : meilleurs résultats du premier trimestre pour…

iOS 18 propose un nouveau fond d’écran dynamique aux couleurs…

8 raisons pour lesquelles les développeurs aiment Go et 8 raisons pour…

1 De 351

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite