Des systèmes de contrôle industriels concernés par des failles

Six vulnérabilités critiques ont été découvertes dans un composant logiciel tiers alimentant divers systèmes industriels. Les pirates informatiques distants et non authentifiés peuvent exploiter les failles pour lancer diverses attaques malveillantes, y compris le déploiement de rançongiciels et l’arrêt ou même la prise en charge de systèmes critiques.

Les failles se trouvent dans CodeMeter, propriété de Wibu-Systems, qui est un composant de gestion de logiciel sous licence utilisé par de nombreux fournisseurs de logiciels de système de contrôle industriel (ICS), dont Rockwell Automation et Siemens. CodeMeter fournit à ces entreprises des outils pour renforcer la sécurité, aider avec les licences de modèles et se protéger contre le piratage ou la rétro-ingénierie.

Le 11 Août 2020, Wibu-Systems a mis à disposition des correctifs pour toutes les failles de la version 7.10 de CodeMeter. Cependant, les failles n’ont été révélées que récemment par les chercheurs. De nombreux fournisseurs concernés ont été notifiés et ont ajoutés – ou sont en train d’ajouter – des correctifs à leurs installateurs, ont déclaré des chercheurs de Claroty qui ont découvert les failles de sécurité.

«Une exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant de modifier et de falsifier un fichier de licence, de provoquer une condition de déni de service, d’exécuter potentiellement du code à distance, de lire des données et d’empêcher le fonctionnement normal d’un logiciel tiers dépendant du CodeMeter », selon un avis publié par ICS-CERT.

Les chercheurs ont découvert un ensemble de failles dans l’API CodeMeter WebSocket (CVE-2020-14519) permettant la gestion des licences via JavaScript. Pour exploiter les failles, un attaquant devra d’abord hameçonner ou utiliser l’ingénierie social sur les victimes pour les attirer vers un site qu’ils contrôlent.

systèmes de contrôle industriels

Dans un scénario d’attaque, un pirate pourrait cibler un groupe spécifique d’ingénieurs à la recherche de conseils sur un forum dédié aux automates programmables, en hébergeant la charge malveillante sur un forum bidon ou compromis. Une fois que la cible a visité le site Web contrôlé par l’attaquant, les acteurs de la menace peuvent utiliser du code JavaScript pour injecter leur propre licence malveillante sur la machine de la cible, ont déclaré les chercheurs.

«Ces failles peuvent être exploitées via des campagnes d’hameçonnage ou directement par des attaquants qui seraient en mesure de scanner des environnements utilisateur afin de modifier les licences logicielles existantes ou d’injecter des licences malveillantes, provoquant le crash des appareils et des processus», selon Sharon Brizinov et Tal Keren, chercheurs en sécurité de Claroty, dans une analyse. «De graves problèmes d’implémentation de chiffrement, également découverts par Claroty, peuvent être exploités pour permettre aux attaquants d’exécuter du code à distance et de se déplacer latéralement sur les réseaux de technologie opérationnelle.»

L’autre faille grave (CVE-2020-14509) est une simple erreur d’accès au tampon, dans le mécanisme de l’analyseur de paquets utilisé par CodeMeter, qui ne vérifie pas les champs de longueur. Cette faille a un score CVSS v3 le plus élevé possible (10 sur 10), ce qui la rend critique.

«CVE-2020-14509 est une vulnérabilité très critique qui présente un risque important pour les produits qui utilisent le composant tiers, CodeMeter», a déclaré Brizinov. «La vulnérabilité est une faille de corruption de mémoire par débordement de tampon, et elle pourrait être exploitée pour obtenir l’exécution de code à distance sans aucune connaissance préalable de la machine cible. Tout ce dont un attaquant a besoin est de pouvoir communiquer avec la machine cible via le port TCP 22350. »

Une autre faille sérieuse (CVE-2020-14517) a été trouvée dans l’implémentation du chiffrement de CodeMeter. Cette faille pourrait être exploitée pour attaquer le protocole de communication de CodeMeter et l’API interne, afin de communiquer à distance et d’envoyer des commandes à toute machine exécutant CodeMeter, ont déclaré les chercheurs.

systèmes de controle industriels

Les trois failles restantes incluent une erreur de validation d’entrée incorrecte (CVE-2020-14513) qui pourrait forcer CodeMeter à s’arrêter, un problème dans le mécanisme de vérification de signature de fichier de licence (CVE-2020-14515) qui permet aux attaquants de créer des fichiers de licence arbitraires et une faille d’arrêt ou de publication de ressources incorrectes (CVE-2020-16233).

«Le chaînage de ces… failles permet à un attaquant de signer ses propres licences et de les injecter à distance», ont déclaré les chercheurs. «Les vulnérabilités liées aux erreurs de validation d’entrée (CVE-2020-14513) pourraient également être exploitées pour provoquer le crash et la non-réponse des équipements industriels, conduisant à une condition de déni de service.»

Selon ICS-CERT, Wibu-Systems recommande aux utilisateurs de mettre à jour vers la dernière version de CodeMeter Runtime (version 7.10). Les fournisseurs concernés comme Rockwell et Siemens ont publié leurs propres avis de sécurité, mais les chercheurs préviennent que, en raison de l’intégration de CodeMeter dans de nombreux systèmes de contrôle industriels de premier plan, les utilisateurs peuvent ne pas savoir que ce composant tiers vulnérable se trouve dans leur environnement.

«CodeMeter est un outil tiers largement déployé et intégré dans de nombreux produits. Les organisations peuvent ne pas savoir que leur produit utilise CodeMeter, par exemple, ou ne pas disposer d’un mécanisme de mise à jour facilement disponible », ont averti les chercheurs.

Brizinov a déclaré que les chercheurs n’ont pas encore rencontré de campagnes actives utilisant ces exploits.

Les vulnérabilités de l’équipement industriel inquiètent les experts de la sécurité en raison des conséquences désastreuses si un système critique est attaqué. En Juillet, la National Security Agency (NSA) des États-Unis et la Cybersecurity and Infrastructure Security Agency (CISA) ont émis une alerte avertissant que des adversaires pourraient cibler des infrastructures critiques à travers les États-Unis.

Des failles avaient été précédemment trouvées dans ces systèmes

En Mars, des vulnérabilités nécessitant très peu de compétences pour être exploité ont été découvertes dans les dispositifs ICS de Rockwell Automation et Johnson Controls. Et en Juillet, les chercheurs ont averti que les failles d’exécution de code à distance dans les produits de réseau privé virtuel (VPN) pourraient avoir un impact sur le fonctionnement physique des infrastructures critiques dans l’espace des services publics de pétrole, de gaz, d’eau et d’électricité.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x