Les chercheurs en sécurité ont découvert 56 failles affectant les appareils de 10 fournisseurs de technologies opérationnelles (OT) dans ce qui est présenté comme la plus grande divulgation de vulnérabilité affectant les composants informatiques qui contrôlent les installations industrielles.
Vedere Labs de Forescout, qui a publié un résumé de ses conclusions aujourd’hui (21 juin), a déclaré que ses conclusions illustrent que la fonctionnalité non sécurisée par conception est répandue dans le domaine des dispositifs de contrôle industriels malgré plusieurs années d’attaques très médiatisées.
Logiciels malveillants OT, y compris Industrieur, TRITON, Industrie2et INCONTROLEUR a tourmenté le secteur, qui s’est historiquement appuyé sur la « sécurité par l’obscurité » comme défense contre les attaques.
Plus isolé
Les composants de technologie opérationnelle contrôlent une gamme de dispositifs allant des vannes dans les raffineries de pétrole aux turbines de centrales électriques et aux bandes transporteuses dans les usines, ou aux escaliers mécaniques dans les centres commerciaux. Il y a des années, ces systèmes étaient isolés, mais ils sont de plus en plus connectés à Internet pour faciliter la surveillance et le contrôle à distance.
Plus récemment, des dispositifs technologiques opérationnels ont été connectés à des systèmes informatiques tels que des systèmes de planification des ressources d’entreprise.
« En connectant l’OT à l’IoT (Internet des objets) et aux appareils informatiques, les vulnérabilités qui étaient autrefois considérées comme insignifiantes en raison de leur manque de connectivité sont désormais des cibles de choix pour les mauvais acteurs », a déclaré Daniel dos Santos, responsable de la recherche sur la sécurité chez Forescout Vedere Labs. .
Les 56 vulnérabilités, détaillées dans Rapport technique de Forescout (PDF), affectent collectivement 10 fournisseurs, dont Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, Omron, Phoenix Contact, Siemens et Yokogawa. UN article de blog par Forescout offre un aperçu des principaux problèmes découverts.
Les vulnérabilités se répartissent en quatre catégories principales :
- Protocoles d’ingénierie non sécurisés
- Cryptographie faible ou schémas d’authentification cassés
- Mises à jour du firmware non sécurisées
- Exécution de code à distance (RCE) via une fonctionnalité native
Les impacts variaient, mais allaient du déni de service (DoS) et de la manipulation de la configuration au contournement de l’authentification et (dans les cas les plus graves) au RCE.
« Les vulnérabilités vont des pratiques persistantes non sécurisées dès la conception dans les produits certifiés de sécurité aux tentatives inadéquates pour les corriger », selon Forescout.
Les problèmes découverts ont été signalés dans le cadre du processus de divulgation des vulnérabilités de la Critical Infrastructure Security Agency (CISA) des États-Unis.
Segmentation du réseau
En réponse à une question de , Forescout a résumé ce que les entreprises doivent faire pour se défendre contre ces divers défauts. Les précautions devraient impliquer une combinaison de correctifs et de surveillance des menaces de sécurité du réseau, a-t-il déclaré.
« Chaque fournisseur publie ses propres avis de sécurité avec des recommandations spécifiques pour ses produits concernés, qui vont des correctifs aux changements de configuration et à l’application de la protection du réseau », a déclaré dos Santos de Forescout.
« Forescout recommande de se concentrer sur les protections du réseau, telles que l’amélioration de la segmentation du réseau pour atténuer la probabilité et l’impact des attaques, ainsi que la surveillance de la sécurité du réseau pour détecter et être en mesure de répondre aux attaques si elles se produisent. »
Tous les fournisseurs concernés ont été contactés, a confirmé Forescout. dos Santos a expliqué : « La divulgation a été séparée dans des cas spécifiques pour chaque fournisseur et coordonnée par la CISA, qui a également invité les CERT nationaux (par exemple, le JPCERT/CC japonais) pour certains cas. Le processus a commencé il y a trois mois et la communication s’est faite séparément avec chaque fournisseur, ce qui a posé des problèmes en termes d’alignement des dates, de réponses, etc.
Le responsable de la recherche sur la sécurité chez Forescout Vedere Labs a conclu : « Je pense que le processus de divulgation pour OT évolue et que la plupart des fournisseurs agissent mieux qu’il y a quelques années, mais nous remarquons qu’il existe encore une certaine résistance à reconnaître les vulnérabilités des appareils critiques.