CISA met en garde contre les failles logicielles dans les systèmes de contrôle industriels

La Cybersecurity and Infrastructure Agency (CISA) des États-Unis a averti les organisations de vérifier les vulnérabilités récemment révélées affectant les appareils de technologie opérationnelle (OT) qui devraient mais ne sont pas toujours isolés d’Internet.

CISA a publié cinq avis couvrant de multiples vulnérabilités affectant les systèmes de contrôle industriels découvertes par des chercheurs de Forescout.

Forescout a publié cette semaine son rapport “OT:ICEFALL”, qui couvre un ensemble de problèmes de sécurité courants dans les logiciels pour les appareils de technologie opérationnelle (OT). Les bogues qu’ils ont révélés affectent les appareils de Honeywell, Motorola, Siemens et autres.

OT est un sous-ensemble de l’Internet des objets (IoT). OT couvre les systèmes de contrôle industriels (ICS) qui peuvent être connectés à Internet, tandis que la catégorie plus large de l’IoT comprend des articles de consommation tels que les téléviseurs, les sonnettes et les routeurs.

Forescout a détaillé les 56 vulnérabilités dans un seul rapport pour mettre en évidence ces problèmes courants.

La CISA a publié cinq avis correspondants sur les systèmes de contrôle industriel (ICSA) qui, selon elle, informent des vulnérabilités signalées et identifient les mesures d’atténuation de base pour réduire les risques liés à ces attaques et à d’autres attaques de cybersécurité.

Les avis incluent des détails sur les failles critiques affectant les logiciels du japonais JTEKT, trois failles affectant les appareils du fournisseur américain Phoenix Contact et une affectant les produits de la société allemande Siemens.

L’avis ICSA-22-172-02 pour JTEKT TOYOPUC détaille les failles d’authentification manquantes et d’escalade de privilèges. Ceux-ci ont une cote de gravité de 7-2 sur 10.

Les défauts affectant les appareils Phoenix sont détaillés dans les avis ICSA-22-172-03 pour les contrôleurs de ligne Phoenix Contact Classic ; ICSA-22-172-04 pour Phoenix Contact ProConOS et MULTIPROG ; et ICSA-22-172-05 : Contrôleurs industriels Phoenix Contact Classic Line.

Les logiciels Siemens présentant des vulnérabilités critiques sont détaillés dans l’avis ICSA-22-172-06 pour Siemens WinCC OA. C’est un bogue exploitable à distance avec un score de gravité de 9,8 sur 10.

“L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant de se faire passer pour d’autres utilisateurs ou d’exploiter le protocole client-serveur sans être authentifié”, note CISA.

Les appareils OT doivent être isolés sur un réseau, mais souvent ils ne le sont pas, ce qui donne aux cyber-attaquants sophistiqués un champ plus large à pénétrer.

Les 56 vulnérabilités identifiées par Forescount se répartissaient en quatre catégories principales, notamment les protocoles d’ingénierie non sécurisés, la cryptographie faible ou les schémas d’authentification brisés, les mises à jour de micrologiciels non sécurisées et l’exécution de code à distance via des fonctionnalités natives.

La société a publié les vulnérabilités (CVE) sous forme de collection pour illustrer que les failles dans la fourniture de matériel d’infrastructure critique sont un problème courant.

“Avec OT:ICEFALL, nous voulions divulguer et fournir un aperçu quantitatif des vulnérabilités OT non sécurisées dès la conception plutôt que de nous fier aux rafales périodiques de CVE pour un seul produit ou un petit ensemble d’incidents publics réels qui sont souvent considéré comme un fournisseur particulier ou un propriétaire d’actifs en faute », a déclaré Forescout.

“L’objectif est d’illustrer comment la nature opaque et propriétaire de ces systèmes, la gestion sous-optimale des vulnérabilités qui les entourent et le sentiment de sécurité souvent faux offert par les certifications compliquent considérablement les efforts de gestion des risques OT”, a-t-il déclaré.

En tant que détails fermes dans un article de blog, il existe certains défauts courants dont les développeurs doivent être conscients :

  • Les vulnérabilités non sécurisées par conception abondent: Plus d’un tiers des vulnérabilités trouvées (38 %) permettent de compromettre les informations d’identification, la manipulation du micrologiciel venant en deuxième position (21 %) et l’exécution de code à distance en troisième position (14 %).
  • Les produits vulnérables sont souvent certifiés: 74 % des familles de produits concernées disposent d’une forme ou d’une autre de certification de sécurité et la plupart des problèmes signalés doivent être découverts relativement rapidement lors de la découverte approfondie des vulnérabilités. Les facteurs contribuant à ce problème incluent une portée limitée des évaluations, des définitions de sécurité opaques et une focalisation sur les tests fonctionnels.
  • La gestion des risques est compliquée par le manque de CVE: Il ne suffit pas de savoir qu’un appareil ou un protocole n’est pas sécurisé. Pour prendre des décisions éclairées en matière de gestion des risques, les propriétaires d’actifs doivent savoir dans quelle mesure ces composants ne sont pas sûrs. Les problèmes considérés comme le résultat de l’insécurité dès la conception n’ont pas toujours été assignés à des CVE, de sorte qu’ils restent souvent moins visibles et exploitables qu’ils ne devraient l’être.
  • Il existe des composants de la chaîne d’approvisionnement non sécurisés par conception: Les vulnérabilités des composants de la chaîne d’approvisionnement OT ont tendance à ne pas être signalées par tous les fabricants concernés, ce qui contribue aux difficultés de gestion des risques.
  • Toutes les conceptions non sécurisées ne sont pas égales: Aucun des systèmes analysés ne prend en charge la signature logique et la plupart (52 %) compilent leur logique en code machine natif. 62 % de ces systèmes acceptent les téléchargements de micrologiciels via Ethernet, tandis que seulement 51 % disposent d’une authentification pour cette fonctionnalité.
  • Les capacités offensives sont plus faciles à développer qu’on ne l’imagine souvent: La rétro-ingénierie d’un seul protocole propriétaire a pris entre 1 jour et 2 semaines, tandis que la réalisation de la même chose pour des systèmes complexes et multi-protocoles a pris 5 à 6 mois.