Plusieurs vulnérabilités de sécurité ont été découvertes dans divers services, y compris le système de contrôle distribué Honeywell Experion (DCS) et QuickBlox, qui, si elles sont exploitées avec succès, pourraient entraîner une grave compromission des systèmes concernés.
Surnommées Crit.IX, les neuf failles de la plate-forme Honeywell Experion DCS permettent “l’exécution de code à distance non autorisée, ce qui signifie qu’un attaquant aurait le pouvoir de prendre le contrôle des appareils et de modifier le fonctionnement du contrôleur DCS, tout en cachant les altérations de le poste de travail d’ingénierie qui gère le contrôleur”, a déclaré Armis dans un communiqué partagé avec The Hacker News.
Autrement dit, les problèmes sont liés au manque de cryptage et de mécanismes d’authentification adéquats dans un protocole propriétaire appelé Control Data Access (CDA) qui est utilisé pour communiquer entre les serveurs Experion et les contrôleurs C300, permettant ainsi à un acteur malveillant de prendre le contrôle des appareils et de modifier le fonctionnement. du contrôleur DCS.
“En conséquence, toute personne ayant accès au réseau peut se faire passer pour le contrôleur et le serveur”, a déclaré Tom Gol, directeur technique de la recherche chez Armis, a dit. ” De plus, il existe des défauts de conception dans le protocole CDA qui rendent difficile le contrôle des limites des données et peuvent entraîner des débordements de mémoire tampon. “
Dans un développement connexe, Check Point et Claroty ont découvert des failles majeures dans une plate-forme de chat et d’appel vidéo connue sous le nom de QuickBlox, largement utilisée dans la télémédecine, la finance et les appareils IoT intelligents. Les vulnérabilités pourraient permettre aux attaquants de divulguer la base de données des utilisateurs de nombreuses applications populaires qui intègrent le SDK et l’API QuickBlox.
Cela inclut Rozcom, un fournisseur israélien qui vend des interphones pour des cas d’utilisation résidentielle et commerciale. Un examen plus approfondi de son application mobile a conduit à la découverte de bogues supplémentaires (CVE-2023-31184 et CVE-2023-31185) qui a permis de télécharger toutes les bases de données d’utilisateurs, d’usurper l’identité de n’importe quel utilisateur et d’effectuer des attaques de prise de contrôle de compte complet.
“En conséquence, nous avons pu prendre en charge tous les appareils d’interphone Rozcom, nous donnant un contrôle total et nous permettant d’accéder aux caméras et aux microphones de l’appareil, d’écouter son flux, d’ouvrir les portes gérées par les appareils, et plus encore”, ont déclaré les chercheurs. a dit.
Cette semaine, des failles d’exécution de code à distance ont également été révélées Points d’accès Aerohive/Extreme Networks exécutant les versions de HiveOS/Extreme IQ Engine antérieures à 10.6r2 et la bibliothèque open source Ghostscript (CVE-2023-36664score CVSS : 9,8) pouvant entraîner l’exécution de commandes arbitraires.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
“Ghostscript est un package largement utilisé mais pas nécessairement très connu”, a déclaré Dave Truman, chercheur chez Kroll. a dit. “Il peut être exécuté de différentes manières, de l’ouverture d’un fichier dans un éditeur d’images vectorielles tel qu’Inkscape à l’impression d’un fichier via CUPS. Cela signifie qu’une exploitation d’une vulnérabilité dans Ghostscript peut ne pas être limitée à une application ou être immédiatement évidente .”
La liste est complétée par la découverte d’informations d’identification codées en dur dans les routeurs de passerelle DSL Technicolor TG670 qui pourraient être militarisées par un utilisateur authentifié pour obtenir un contrôle administratif total des appareils.
“Un attaquant distant peut utiliser le nom d’utilisateur et le mot de passe par défaut pour se connecter en tant qu’administrateur au routeur”, CERT/CC a dit dans un avis. “Cela permet à l’attaquant de modifier n’importe lequel des paramètres administratifs du routeur et de l’utiliser de manière inattendue.”
Il est conseillé aux utilisateurs de désactiver l’administration à distance sur leurs appareils pour éviter les tentatives d’exploitation potentielles et de vérifier auprès des fournisseurs de services pour déterminer si les correctifs et mises à jour appropriés sont disponibles.

