La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié quatre avis sur les systèmes de contrôle industriels (ICS), signalant plusieurs failles de sécurité affectant les produits de Siemens, GE Digital et Contec.
Les problèmes les plus critiques ont été identifiés dans Siemens SINEC INS qui pourraient conduire à l’exécution de code à distance via une faille de traversée de chemin (CVE-2022-45092score CVSS : 9,9) et injection de commandes (CVE-2022-2068score CVSS : 9,8).
Siemens a également corrigé une vulnérabilité de contournement d’authentification dans l’analyseur llhttp (CVE-2022-35256score CVSS : 9,8) ainsi qu’un bogue d’écriture hors limites dans la bibliothèque OpenSSL (CVE-2022-2274, score CVSS : 9,8) qui pourrait être exploité pour déclencher l’exécution de code à distance.
L’entreprise allemande d’automatisation, en décembre 2022, libéré Logiciel Service Pack 2 Update 1 pour atténuer les défauts.
Par ailleurs, une faille critique a également été révélée dans la solution Proficy Historian de GE Digital qui pourrait entraîner l’exécution de code quel que soit le statut d’authentification. Le problème, suivi en tant que CVE-2022-46732 (score CVSS : 9,8), affecte les versions 7.0 et supérieures de Proficy Historian, et a été corrigé dans Historien professionnel 2023.
« Un attaquant peut profiter de ce fait et contourner l’authentification de l’historien en se faisant passer pour un service local », a déclaré Uri Katz, chercheur en sécurité à la société de sécurité industrielle Claroty. m’a dit. « Cela permet aux attaquants distants de se connecter à n’importe quel serveur GE Proficy Historian et de le forcer à effectuer des actions non autorisées. »
La CISA a également mis à jour un avis ICS publié le mois dernier, détaillant une vulnérabilité critique d’injection de commande dans le système Contec CONPROSYS HMI (CVE-2022-44456, score CVSS : 10,0) qui pourrait permettre à un attaquant distant d’envoyer des requêtes spécialement conçues pour exécuter des commandes arbitraires. .
Bien que cette lacune ait été corrigée par Contec dans la version 3.4.5, le logiciel s’est depuis révélé vulnérable à quatre défauts supplémentaires pouvant entraîner la divulgation d’informations et un accès non autorisé.
Il est recommandé aux utilisateurs du système CONPROSYS HMI de mettre à jour vers la version 3.5.0 ou ultérieure, en plus de prendre des mesures pour minimiser l’exposition du réseau et isoler ces appareils des réseaux d’entreprise.
Les avis surviennent moins d’une semaine après que la CISA a publié 12 alertes de ce type avertissant de failles critiques affectant les logiciels de Sewio, InHand Networks, Sauter Controls et Siemens.