La CISA met en garde contre les failles de grande gravité dans le logiciel SCADA de Schneider et GE Digital


La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié la semaine dernière un système de contrôle industriel (SCI) avis lié à de multiples vulnérabilités impactant le Easergie relais de protection moyenne tension.

« L’exploitation réussie de ces vulnérabilités peut divulguer les informations d’identification de l’appareil, provoquer une condition de déni de service, le redémarrage de l’appareil ou permettre à un attaquant de prendre le contrôle total du relais », a déclaré l’agence. mentionné dans un bulletin du 24 février 2022. « Cela pourrait entraîner une perte de protection de votre réseau électrique. »

Sauvegardes GitHub automatiques

Les deux failles de gravité élevée impactent les versions d’Easergy P3 antérieures à la v30.205 et les versions d’Easergy P5 antérieures à la v01.401.101. Les détails des défauts sont les suivants –

  • CVE-2022-22722 (Score CVSS : 7,5) – Utilisation d’informations d’identification codées en dur qui pourraient être utilisées de manière abusive pour observer et manipuler le trafic associé à l’appareil.
  • CVE-2022-22723 et CVE-2022-22725 (Score CVSS : 8,8) – Une vulnérabilité de dépassement de mémoire tampon qui pourrait entraîner des pannes de programme et l’exécution de code arbitraire en envoyant des paquets spécialement conçus au relais sur le réseau.

Les failles, qui ont été découvertes et signalées par les chercheurs Timothée Chauvin, Paul Noalhyt, Yuanshe Wu de Red Balloon Security, ont été corrigées par Schneider Electric dans le cadre de mises à jour poussées le 11 janvier 2022.

L’avis intervient moins de 10 jours après que la CISA a émis un autre avertissement d’alerte de multiples vulnérabilités critiques dans le graphique interactif de Schneider Electric SCADA Système (IGSS) qui, si elles sont exploitées avec succès, pourraient entraîner « la divulgation de données et la perte de contrôle du système SCADA avec IGSS fonctionnant en mode de production ».

Empêcher les violations de données

Par ailleurs, l’agence fédérale américaine a également sonné l’alarme liés à General Electric CIMPLICITÉ Logiciel SCADA, avertissement de deux Sécurité des vulnérabilités qui pourraient être exploitées pour révéler des informations sensibles, réaliser l’exécution de code et une élévation locale des privilèges.

Les avis font suite à une Année passée en revue rapport de la société de cybersécurité industrielle Dragos, qui a révélé que 24 % des 1 703 vulnérabilités ICS/OT signalées en 2021 n’avaient aucun correctif disponible, dont 19 % n’avaient aucune atténuation, empêchant les opérateurs de prendre des mesures pour protéger leurs systèmes contre les menaces potentielles .

En outre, Dragos a identifié l’activité malveillante de trois nouveaux groupes qui ciblaient les systèmes ICS l’année dernière, y compris ceux d’acteurs qu’il suit comme Kostovite, Erythrite et Petrovite, chacun ciblant les environnements OT des énergies renouvelables, des services publics d’électricité et des mines. et des entreprises énergétiques situées au Canada, au Kazakhstan et aux États-Unis



ttn-fr-57