Des détails ont été révélés sur plusieurs vulnérabilités de sécurité dans deux implémentations de la spécification de message de fabrication (MMS) protocole qui, s’il est exploité avec succès, pourrait avoir de graves conséquences dans les environnements industriels.
« Ces vulnérabilités pourraient permettre à un attaquant de faire planter un appareil industriel ou, dans certains cas, de permettre l’exécution de code à distance », ont déclaré Mashav Sapir et Vera Mens, chercheurs de Claroty, dans une nouvelle analyse.
Le MMS est un Protocole de messagerie de couche application OSI qui permet le contrôle et la surveillance à distance des appareils industriels en échangeant des informations de contrôle de supervision d’une manière indépendante de l’application.
Plus précisément, il permet la communication entre des appareils électroniques intelligents (IED) et les systèmes de contrôle de supervision et d’acquisition de données (SCADA) ou les automates programmables (PLC).
Les cinq manquements identifiés par l’entreprise de sécurité des technologies opérationnelles impactent la performance de MZ Automation libIEC61850 bibliothèque et Triangle MicroWorks’ TMW CEI 61850 bibliothèque, et ont été corrigés en septembre et octobre 2022 suite à une divulgation responsable –
- CVE-2022-2970 (score CVSS : 10,0) – Une vulnérabilité de dépassement de tampon basée sur la pile dans libIEC61850 qui pourrait entraîner un crash ou l’exécution de code à distance
- CVE-2022-2971 (score CVSS : 8,6) – Une vulnérabilité de confusion de types dans libIEC61850 qui pourrait permettre à un attaquant de faire planter le serveur avec une charge utile malveillante
- CVE-2022-2972 (score CVSS : 10,0) – Une vulnérabilité de dépassement de tampon basée sur la pile dans libIEC61850 qui pourrait entraîner un crash ou l’exécution de code à distance
- CVE-2022-2973 (score CVSS : 8,6) – Une vulnérabilité de déférence de pointeur nul qui pourrait permettre à un attaquant de faire planter le serveur
- CVE-2022-38138 (score CVSS : 7,5) – Une vulnérabilité d’accès à un pointeur non initialisé qui permet à un attaquant de provoquer une condition de déni de service (DoS).
L’analyse de Claroty a également révélé que Siemens SIPROTEC 5 DEI s’appuyait sur une version obsolète de la pile MMS-EASE de SISCO pour la prise en charge des MMS, qui est sensible à une condition DoS via un paquet spécialement conçu (CVE-2015-6574score CVSS : 7,5).
La société allemande a depuis mis à jour son firmware avec une version mise à jour de la pile de protocoles en décembre 2022, selon un rapport. consultatif publié par la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis.
La recherche met en évidence « l’écart entre les exigences de sécurité de la technologie moderne et les protocoles obsolètes et difficiles à remplacer », a déclaré Claroty, exhortant les fournisseurs à suivre les directives de sécurité émises par la CISA.
Cette divulgation intervient quelques semaines après que Nozomi Networks a détaillé deux vulnérabilités dans l’implémentation de référence du protocole sans fil ESP-NOW d’Espressif (CVE-2024-42483 et CVE-2024-42484) qui pourraient permettre des attaques par relecture et provoquer une condition DoS.
« En fonction du système ciblé, cette vulnérabilité [CVE-2024-42483] peut avoir de profondes conséquences », dit. « ESP-NOW est utilisé dans les systèmes de sécurité tels que les alarmes de bâtiments, leur permettant de communiquer avec des capteurs de mouvement. »
« Dans un tel scénario, un attaquant pourrait exploiter cette vulnérabilité pour rejouer une commande ‘OFF’ légitime précédemment interceptée, désactivant ainsi à volonté un capteur de mouvement. »
Alternativement, l’utilisation d’ESP-NOW dans les ouvre-portes à distance, tels que les portails automatiques et les portes de garage, pourrait être utilisée comme arme pour intercepter une commande « OUVERT » et la rejouer ultérieurement pour obtenir un accès non autorisé aux bâtiments.
En août dernier, Nozomi Networks a également mis en lumière un ensemble de 37 vulnérabilités non corrigées dans la bibliothèque d’analyse OpenFlow libfluid_msg, collectivement baptisées FluidFaults, qu’un adversaire pourrait exploiter pour faire planter des applications de réseau défini par logiciel (SDN).
« Un attaquant disposant d’une visibilité réseau sur un contrôleur/transitaire OpenFlow peut envoyer un paquet réseau OpenFlow malveillant qui conduit à une attaque par déni de service (DoS), » la société dit.
Ces derniers mois, des failles de sécurité ont également été découvert dans le système d’exploitation TwinCAT/BSD de Beckhoff Automation qui pourrait exposer les automates à une falsification logique, à des attaques DoS et même à l’exécution de commandes avec les privilèges root sur le contrôleur.