La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié huit Avis sur les systèmes de contrôle industriel (ICS) avertissant des défauts critiques affectant les produits de Hitachi Energy, mySCADA Technologies, Industrial Control Links et Nexx.
En tête de liste est CVE-2022-3682 (score CVSS : 9,9), affectant le système MicroSCADA System Data Manager SDM600 d’Hitachi Energy, qui pourrait permettre à un attaquant de prendre le contrôle à distance du produit.
La faille provient d’un problème de validation des autorisations de fichiers, permettant ainsi à un adversaire de télécharger un message spécialement conçu sur le système, conduisant à l’exécution de code arbitraire.
Hitachi Energy a publié SDM600 1.3.0.1339 pour atténuer le problème pour les versions SDM600 antérieures à la version 1.2 FP3 HF4 (Build Nr. 1.2.23000.291).
Un autre ensemble de cinq vulnérabilités critiques – CVE-2023-28400, CVE-2023-28716, CVE-2023-28384, CVE-2023-29169et CVE-2023-29150 (Scores CVSS : 9,9) – concernent les bogues d’injection de commandes présents dans mySCADA myPRO versions 8.26.0 et antérieures.
« L’exploitation réussie de ces vulnérabilités pourrait permettre à un utilisateur authentifié d’injecter des commandes arbitraires du système d’exploitation », a averti la CISA, exhortant les utilisateurs à mettre à jour vers la version 8.29.0 ou supérieure.
Un bogue de sécurité critique a également été divulgué dans les contrôleurs SCADA ScadaFlex II de Industrial Control Links (CVE-2022-25359score CVSS : 9,1) qui pourrait permettre à un attaquant authentifié d’écraser, de supprimer ou de créer des fichiers.
« Industrial Control Links a fait savoir qu’ils fermaient leur entreprise », a indiqué l’agence. « Ce produit peut être considéré comme en fin de vie ; une assistance continue pour ce produit peut ne pas être disponible. »
Il est recommandé aux utilisateurs de minimiser l’exposition du réseau, d’isoler les réseaux du système de contrôle des réseaux d’entreprise et de les placer derrière des pare-feu pour faire face aux risques potentiels.
La liste est complétée par cinq défauts, dont un bug critique (CVE-2023-1748score CVSS : 9,3), ayant un impact sur les contrôleurs de porte de garage, les prises intelligentes et les alarmes intelligentes vendues par Nexx.
Selon un chercheur en sécurité, les vulnérabilités qui pourraient permettre aux acteurs de la menace de casser les portes de garage des maisons, de prendre le contrôle des prises intelligentes et de prendre le contrôle à distance des alarmes intelligentes Sam Sabétanqui a découvert et signalé les problèmes.
Apprenez à sécuriser le périmètre d’identité – Stratégies éprouvées
Améliorez la sécurité de votre entreprise grâce à notre prochain webinaire sur la cybersécurité dirigé par des experts : Explorez les stratégies de périmètre d’identité !
Les versions suivantes des appareils domestiques intelligents Nexx sont concernées :
- Contrôleur de porte de garage Nexx (NXG-100B, NXG-200) – Version nxg200v-p3-4-1 et antérieure
- Prise intelligente Nexx (NXPG-100W) – Version nxpg100cv4-0-0 et antérieure
- Nexx Smart Alarm (NXAL-100) – Version nxal100v-p1-9-1 et antérieure
« L’exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant de recevoir des informations sensibles, d’exécuter des requêtes d’interface programmable d’application (API) ou de détourner des appareils », a déclaré CISA.