La CISA émet des avis sur les systèmes de contrôle industriel (ICS) pour des failles critiques
L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié huit avis concernant les vulnérabilités des systèmes de contrôle industriel (ICS) dans les produits d'Hitachi Energy, mySCADA Technologies, Industrial Control Links et Nexx. Ces avis mettent en évidence les failles critiques de ces produits qui pourraient être exploitées par des cyberattaquants pour prendre le contrôle à distance des appareils.
La vulnérabilité la plus importante de la liste est CVE-2022-3682, qui a un score CVSS de 9.9 et affecte le MicroSCADA System Data Manager SDM600 d'Hitachi Energy. Elle peut permettre à des attaquants de prendre le contrôle à distance du produit grâce à une faille dans la validation des permissions de fichiers. Cette vulnérabilité pourrait permettre à des adversaires de télécharger un message spécialement conçu sur le système et d'exécuter un code arbitraire. Hitachi Energy a résolu ce problème avec la publication de SDM600 1.3.0.1339. Cependant, les utilisateurs des versions de SDM600 antérieures à 1.2 FP3 HF4 (Build Nr. 1.2.23000.291) doivent appliquer ce correctif pour atténuer le problème.
La CISA a également révélé cinq vulnérabilités critiques avec un score CVSS de 9,9 dans mySCADA myPRO versions 8.26.0 et antérieures. Ces vulnérabilités sont liées à des bogues d'injection de commande qui peuvent permettre à des utilisateurs authentifiés d'injecter des commandes arbitraires du système d'exploitation. La CISA a recommandé aux utilisateurs de mettre à jour leurs systèmes vers la version 8.29.0 ou une version plus récente afin de résoudre ces problèmes.
Les contrôleurs SCADA ScadaFlex II d'Industrial Control Links présentent également un bogue de sécurité critique (CVE-2022-25359) qui permet à des attaquants authentifiés d'écraser, de supprimer ou de créer des fichiers. La CISA a noté qu'Industrial Control Links a fermé ses portes et que l'assistance continue pour ce produit pourrait ne pas être disponible.
En outre, cinq lacunes non corrigées ont été révélées, dont un bogue critique (CVE-2023-1748, CVSS score : 9.3) qui affecte les contrôleurs de portes de garage, les prises intelligentes et les alarmes intelligentes de Nexx. Le chercheur en sécurité Sam Sabetan a découvert et signalé ces problèmes, qui pourraient permettre à des acteurs menaçants d'ouvrir les portes de garage de la maison, de prendre le contrôle des prises intelligentes et d'obtenir le contrôle à distance des alarmes intelligentes. Les versions suivantes des appareils domestiques intelligents Nexx sont concernées -
- Nexx Garage Door Controller (NXG-100B, NXG-200) - Version nxg200v-p3-4-1 et antérieures
- Nexx Smart Plug (NXPG-100W) - Version nxpg100cv4-0-0 et antérieures
- Nexx Smart Alarm (NXAL-100) - Version nxal100v-p1-9-1 et antérieures
La CISA a exhorté les utilisateurs à minimiser l'exposition du réseau, à isoler les réseaux de systèmes de contrôle des réseaux d'entreprise et à les placer derrière des pare-feux pour faire face aux risques potentiels. Il est recommandé aux utilisateurs des produits concernés d'appliquer les correctifs et les mises à jour nécessaires dès que possible afin d'éviter les cybermenaces.
Les sources de cet article comprennent un article de TheHackerNews.