Support technique
Documentation
Connexion
Nous contacter
Trois nouvelles failles exploitées pour cibler les contrôleurs industriels automatisés
14 décembre 2022 - L'équipe de relations publiques de TuxCare
Les chercheurs de Vedere Labs ont récemment découvert trois nouvelles failles de sécurité dans une longue liste de failles regroupées sous le nom de OT:ICEFALL.
Les failles affecteraient les produits de technologie opérationnelle (OT) de deux fournisseurs allemands, Festo et CODESYS, et peuvent être utilisées pour attaquer les contrôleurs industriels automatisés et un logiciel populaire utilisé pour programmer des millions d'appareils intelligents dans les infrastructures critiques, et pourraient avoir un impact sur les fabricants d'appareils dans divers secteurs industriels.
Ces bogues sont suivis sous le nom de CVE-2022-4048, et ils affectent CODESYS V3 version 3.5.18 et le manipulent logiquement. La vulnérabilité CVE-2022-3079, qui affecte les contrôleurs Festo CPX-CEC-C1 et CPX-CMXX Codesys V2, permet un accès distant non authentifié aux fonctions critiques de la page web, ce qui peut entraîner un déni de service. CVE-2022-3270 Les contrôleurs Festo utilisant le protocole FGMC permettent un redémarrage non authentifié du contrôleur réseau.
Elles mettent toutes en évidence une approche non sécurisée dès la conception, dans laquelle les fabricants incluent des fonctions dangereuses auxquelles il est possible d'accéder sans authentification, ou une mauvaise mise en œuvre des contrôles de sécurité, tels que la cryptographie.
Le chiffrement des applications est assuré par l'environnement d'exécution CODESYS V3 pour garantir que le code de téléchargement et les applications de démarrage sont chiffrés. L'environnement d'exécution CODESYS est utilisé par des centaines de fabricants de dispositifs dans le monde entier, dont Festo. Il a été découvert que CODESYS V3, avant la version 3.5.18.40, utilise une cryptographie faible pour le code de téléchargement et les applications de démarrage, ce qui permet aux attaquants de déchiffrer et de manipuler facilement le code protégé en forçant les clés de session.
Les contrôleurs Festo CPX-CEC-C1 et CPX-CMXX, en revanche, permettent un accès à distance non authentifié aux fonctions critiques de la page Web. Toute personne ayant un accès réseau à un contrôleur peut naviguer vers une page web cachée sur le système de fichiers du contrôleur, provoquant le redémarrage du contrôleur et potentiellement un déni de service.
En outre, les contrôleurs Festo qui utilisent le protocole Festo Generic Multicast (FGMC) permettent des redémarrages non authentifiés du contrôleur et d'autres opérations sensibles. L'outil Festo Field Device Tool, qui communique via FGMC, peut obtenir le même effet. L'outil PLC Browser, qui permet aux opérateurs d'émettre des commandes, peut également être utilisé pour redémarrer les contrôleurs sans nécessiter d'authentification.
Recommandations pour réduire les risques En raison de la difficulté à appliquer des correctifs ou à remplacer les dispositifs OT en raison de leur nature critique, Forescout recommande aux organisations de mettre en œuvre des stratégies d'atténuation qui donnent la priorité à la sécurisation de leur surface d'attaque accrue sur la base de renseignements actualisés sur les menaces.
En outre, la recherche a découvert qu'un certain nombre de dispositifs Festo, y compris ses contrôleurs CPX-CEC-C1, ont été livrés avec des configurations CODESYS qui les rendent vulnérables à une paire de failles logicielles plus anciennes, précédemment divulguées.
Les sources de cet article comprennent un article de SCMedia.
