La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié cette semaine sept avis couvrant les vulnérabilités des systèmes de contrôle industriels (ICS) et des logiciels de contrôle de supervision et d’acquisition de données (SCADA) de plusieurs fournisseurs. Certaines des failles sont classées critiques et deux d’entre elles ont déjà des exploits publics.
Les produits impactés incluent :
- Contrôleurs Scadaflex II fabriqués par Industrial Control Links
- Logiciel de programmation Screen Creator Advance 2 et Kostac PLC de JTEKT Electronics
- Points d’accès sans fil industriels Korenix JetWave et passerelles de communication
- Gestionnaire de données du système MicroSCADA SDM600 d’Hitachi Energy
- Logiciel mySCADA myPRO
- Diagnostic FactoryTalk de Rockwell Automation
Les contrôleurs de la série ScadaFlex II sont ce que l’on appelle dans l’industrie des contrôleurs intégrés, des systèmes autonomes construits avec un logiciel personnalisé, une puissance de traitement et des capacités d’E/S pour contrôler et surveiller d’autres processus industriels. Selon CISAplusieurs versions du logiciel exécutées sur les contrôleurs SC-1 et SC-2 sont affectées par une vulnérabilité critique – CVE-2022-25359 avec un score CVSS de 9,1 – qui pourrait permettre à des attaquants non authentifiés d’écraser, de supprimer ou de créer des fichiers sur le système.
La faille peut être exploitée à distance et a une faible complexité d’attaque. De plus, un exploit public de preuve de concept est disponible pour cela. Aucun correctif n’est disponible car le fournisseur est en train de fermer son entreprise, de sorte que ces systèmes sont effectivement en fin de vie. Les propriétaires de ces actifs peuvent prendre des mesures défensives telles que restreindre leur accès au réseau, ne pas les exposer directement à Internet ou aux réseaux d’entreprise, les placer derrière des pare-feu et utiliser des VPN sécurisés pour un accès à distance si nécessaire.
Le logiciel de programmation Kostac PLC est le logiciel d’ingénierie utilisé pour gérer les contrôleurs logiques de programmation (PLC) Kostac fabriqués par Koyo Electronics, une filiale du groupe JTEKT. Le logiciel fonctionne avec les séries Kostac SJ, les séries DL05 et DL06, les séries DL205, les séries PZ, les séries DL405 et SU et la série SS.
Selon le conseil CISA, le logiciel présente trois vulnérabilités de mémoire avec un score de gravité CVSS de 7,8 0 : CVE-2023-22419, CVE-2023-22421 et CVE-2023-22424. Ces failles, deux lectures de mémoire hors limites et une utilisation après libération peuvent conduire à la divulgation d’informations et à l’exécution de code arbitraire lors du traitement de programmes PLC ou de fichiers de projet et de commentaires spécialement conçus. Les versions 1.6.10.0 et ultérieures du logiciel incluent des correctifs pour ces failles et des atténuations plus générales pour éviter des problèmes similaires.
JTEKT propose également un programme d’enregistrement d’écran appelé Screen Creator Advance 2 qui a également cinq défauts de lecture hors limites et un use-after-free noté 7,8 sur l’échelle CVSS. Le fournisseur conseille aux utilisateurs de mettre à jour vers les versions 0.1.1.4 Build01A et supérieures.
Plusieurs modèles de passerelles de communication industrielle Korenix JetWave sont impactés par trois vulnérabilités d’injection de commandes et de consommation incontrôlée de ressources notées 8,8 sur l’échelle CVSS. L’exploitation des failles d’injection de commande — CVE-2023-23294 et CVE-2023-23295 — peut donner aux attaquants un accès complet au système d’exploitation exécuté sur les appareils, et l’exploitation du problème de consommation de ressources — CVE-2023-23296 – – peut entraîner une condition de déni de service. Le fournisseur a publié des versions de micrologiciel corrigées pour les modèles concernés.
Le logiciel mySCADA myPRO IHM et SCADA a cinq vulnérabilités par lequel les attaquants peuvent exécuter des commandes arbitraires sur le système d’exploitation. Les failles affectent les versions 8.26.0 et antérieures de myPRO et sont notées 9,9 sur 10 sur l’échelle CVSS car elles sont faciles à exploiter à distance et les détails techniques sur les vulnérabilités sont déjà disponibles sur Internet. Le système myPRO est populaire dans plusieurs domaines, notamment l’énergie, l’alimentation et l’agriculture, les systèmes de transport et les systèmes d’eau et d’eaux usées. Le fournisseur a corrigé les problèmes dans la version 8.29.0.
Le Hitachi MicroSCADA System Data Manager SDM600 est un outil de gestion industrielle pour les installations liées à l’énergie et a de multiples vulnérabilités qui permettent des téléchargements illimités de fichiers avec des types dangereux, une autorisation incorrecte d’utilisation de l’API, un arrêt incorrect des ressources et une mauvaise gestion des privilèges. L’exploitation de ces vulnérabilités, également notées 9,9 sur l’échelle CVSS, pourrait permettre à un attaquant distant de prendre le contrôle du produit.
Hitachi conseille aux utilisateurs des versions SDM600 antérieures à la v1.2 FP3 HF4 (Build Nr. 1.2.23000.291) de mettre à jour vers la v1.3.0.1339. La société a également publié des solutions de contournement supplémentaires et des recommandations générales de défense qui sont incluses dans l’avis CISA.
Le logiciel FactoryTalk Diagnostic de Rockwell Automation est un sous-système de FactoryTalk Service Platform, une suite logicielle Windows qui accompagne les produits industriels Rockwell utilisés dans de nombreux secteurs industriels : agro-alimentaire, systèmes de transport et systèmes d’eau et d’eaux usées. Les logiciels présente une vulnérabilité critique de désérialisation des données évalué à 9,8 sur l’échelle CVSS qui peut permettre à un attaquant distant non authentifié d’exécuter du code arbitraire avec des privilèges de niveau SYSTEM. Il n’y a pas de patch disponible mais Rockwell travaille sur une mise à jour du logiciel. Entre-temps, la société a recommandé plusieurs contrôles compensatoires et mesures défensives.
Copyright © 2023 IDG Communications, Inc.
