Pas moins de huit vulnérabilités zero-day ont été révélées dans le système de contrôle d’accès LenelS2 HID Mercury de Carrier, largement utilisé dans les établissements de santé, d’éducation, de transport et gouvernementaux.
“Les vulnérabilités découvertes nous ont permis de démontrer la capacité de déverrouiller et de verrouiller les portes à distance, de contourner les alarmes et de saper les systèmes de journalisation et de notification”, ont déclaré Steve Povolny et Sam Quinn, chercheurs en sécurité chez Trellix, dans un rapport partagé avec The Hacker News.
Les problèmes, en un mot, pourraient être transformés en armes par un acteur malveillant pour obtenir le contrôle total du système, y compris la capacité de manipuler les serrures de porte. L’un des bogues (CVE-2022-31481) comprend une faille d’exécution à distance non authentifiée qui est notée 10 sur 10 pour la gravité sur le système de notation CVSS.
D’autres lacunes pourraient conduire à l’injection de commandes (CVE-2022-31479, CVE-2022-31486), au déni de service (CVE-2022-31480, CVE-2022-31482), à la modification de l’utilisateur (CVE-2022-31484), et l’usurpation d’informations (CVE-2022-31485) ainsi que l’écriture arbitraire de fichiers (CVE-2022-31483).
LenelS2 est utilisé dans des environnements pour accorder un accès physique à des installations privilégiées et s’intégrer à des déploiements d’automatisation de bâtiment plus complexes. Les panneaux d’accès HID Mercury suivants vendus par LenelS2 sont concernés –
- LNL-X2210
- LNL-X2220
- LNL-X3300
- LNL-X4420
- LNL-4420
- S2-LP-1501
- S2-LP-1502
- S2-LP-2500, et
- S2-LP-4502
Trellix a noté qu’en enchaînant deux des faiblesses susmentionnées, il a pu obtenir à distance des privilèges de niveau racine sur l’appareil et déverrouiller et contrôler les portes, renversant efficacement les protections de surveillance du système.
Coïncidant avec la divulgation publique, un avis sur les systèmes de contrôle industriel (ICS) de la US Cybersecurity and Infrastructure Security Agency (CISA), exhorte les utilisateurs à mettre à jour les panneaux d’accès au dernière version du micrologiciel (CARR-PSA-006-0622).
“L’exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant d’accéder à l’appareil, permettant la surveillance de toutes les communications envoyées vers et depuis l’appareil, la modification des relais intégrés, la modification des fichiers de configuration, l’instabilité de l’appareil et une condition de déni de service”, l’agence a dit dans une alerte.