Les chercheurs ont révélé les détails de trois nouvelles vulnérabilités de sécurité affectant les produits de technologie opérationnelle (OT) de CODESYS et Festo qui pourraient conduire à la falsification du code source et au déni de service (DoS).
Les vulnérabilités, signalées par Forescout Vedere Labs, sont les dernières d’une longue liste de failles suivies collectivement sous le nom OT:ICEFALL.
« Ces problèmes illustrent soit une approche non sécurisée dès la conception – ce qui était habituel au moment du lancement des produits – où les fabricants incluent des fonctions dangereuses auxquelles on peut accéder sans authentification ou une mise en œuvre médiocre des contrôles de sécurité, tels que la cryptographie », a déclaré le des chercheurs a dit.
Le plus critique des défauts est CVE-2022-3270 (score CVSS : 9,8), une vulnérabilité critique qui affecte les contrôleurs d’automatisation Festo utilisant le protocole Festo Generic Multicast (FGMC) pour redémarrer les appareils sans nécessiter aucune authentification et provoquer une condition de déni de service (DoS).
Une autre lacune DoS dans les contrôleurs Festo (CVE-2022-3079score CVSS : 7,5) concerne un cas d’accès à distance non authentifié à une page Web non documentée (« cec-reboot.php ») qui pourrait être exploitée par un attaquant disposant d’un accès réseau à Festo CPX-CEC-C1 et CPX-CMXX automates.
Le troisième problème, d’autre part, concerne l’utilisation d’une cryptographie faible dans l’environnement d’exécution CODESYS V3 pour sécuriser le téléchargement de code et les applications de démarrage (CVE-2022-4048score CVSS : 7,7), qui pourrait être exploité par un acteur malveillant pour déchiffrer et manipuler le code source, compromettant ainsi les protections de confidentialité et d’intégrité.
Forescout a déclaré avoir également identifié deux bogues CODESYS connus affectant les contrôleurs Festo CPX-CEC-C1 (CVE-2022-31806 et CVE-2022-22515) qui découlent d’une configuration non sécurisée dans l’environnement d’exécution de Control et qui pourraient entraîner un déni de service sans authentification.
« C’est encore un autre exemple d’un problème de chaîne d’approvisionnement où une vulnérabilité n’a pas été divulguée pour tous les produits qu’elle affecte », ont déclaré les chercheurs.
Pour atténuer les menaces potentielles, il est recommandé aux organisations de découvrir et d’inventorier les appareils vulnérables, d’appliquer des contrôles de segmentation du réseau appropriés et de surveiller le trafic réseau pour détecter toute activité anormale.