Les attaquants pourraient déverrouiller à distance les portes des infrastructures critiques en exploitant les vulnérabilités récemment corrigées dans les panneaux de contrôle d’accès HID Mercury, ont affirmé des chercheurs en sécurité.

Sam Quinn et Steve Povolny de Trellix Threat Labs ont découvert huit failles de sécurité dans la technologie du système de contrôle industriel (ICS) qui « nous ont permis de démontrer la capacité de déverrouiller et de verrouiller à distance les portes, de contourner les alarmes et de saper les systèmes de journalisation et de notification », ont-ils déclaré. dans un rédaction technique.

Dans un conseil en sécuritél’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a déclaré qu’une exploitation réussie pourrait permettre « la surveillance de toutes les communications envoyées vers et depuis l’appareil, la modification des relais embarqués, la modification des fichiers de configuration, l’instabilité de l’appareil et une condition de déni de service ». ”.

Cependant, Carrier, qui vend les panneaux HID Mercury testés par Trellix sous sa marque LenelS2, a déclaré que « la méthode de notation (CVSS) de Trellix est subjective et ne capture ni ne reflète le risque opérationnel réel sur la base des exigences d’installation recommandées par le fabricant ».

Réaction en chaîne

Les résultats ont émergé d’un test de pénétration dans lequel Quinn et Povolny ont combiné des techniques de piratage de matériel connues et nouvelles pour manipuler les composants embarqués des produits de marque LenelS2, et ont obtenu un accès root au système d’exploitation Linux de l’appareil.

Ensuite, le duo a découvert les failles exploitables à distance et a créé un exploit à deux bogues pour obtenir des privilèges de niveau racine. Cela leur a permis de créer un programme qui pourrait fonctionner avec le micrologiciel légitime et déverrouiller n’importe quelle porte et subvertir la surveillance du système.

Les chercheurs ont capturé l’exploit dans la vidéo ci-dessous :

Les panneaux vulnérables sont utilisés dans les environnements gouvernementaux, de santé, de transport et d’éducation, entre autres secteurs, et peuvent être intégrés à des déploiements complexes d’automatisation des bâtiments.

« Tous les OEM Mercury [original equipment manufacturer] les fournisseurs sont ou étaient vulnérables à ces problèmes s’ils n’étaient pas mis à jour avec les versions de micrologiciel corrigées récemment publiées », a déclaré Steve Povolny, responsable de la recherche avancée sur les menaces chez Trellix. « Cela inclut au moins 20+ partenaires OEM installés dans le monde, et indique une base d’installation extrêmement importante. »

Les chercheurs recommandent que « les clients utilisant les cartes HID Global Mercury doivent contacter leur partenaire OEM Mercury pour accéder aux correctifs de sécurité avant la militarisation par des acteurs malveillants ».

UN conseil en sécurité (PDF) publié le 2 juin par Carrier fournit des conseils sur la mise à jour du micrologiciel pour les modèles LenelS2 vulnérables et, en attendant, sur l’atténuation du risque en désactivant l’accès au Web.

Répartition des bogues

Les failles incluent un débordement de tampon critique non authentifié conduisant à l’exécution de code à distance (RCE) qui a obtenu un score de gravité maximum de CVSS 10.0 (CVE-2022-31481).

Le deuxième problème le plus grave, un bogue d’injection de commande critique, a obtenu un CVSS de 9,6 (CVE-2022-31479).

Ces deux ont été enchaînés pour atteindre RCE avec un redémarrage arbitraire. « Cependant, il est fort probable qu’avec quelques efforts, CVE-2022-31481 puisse être utilisé de manière autonome pour obtenir le même effet, en utilisant des techniques telles que la programmation orientée retour (ROP) pour obtenir l’exécution du code », a déclaré Povolny.

L’exploit pourrait également fournir un moyen de pivoter vers d’autres systèmes, a-t-il poursuivi. « Étant donné l’exécution de code arbitraire en tant que root, cela faciliterait ce processus », a-t-il déclaré. « Les acteurs malveillants doivent avoir accès au réseau sur lequel les appareils sont installés afin de les exploiter. Dans certaines installations de ces contrôleurs d’accès, cela pourrait s’avérer plus difficile, et dans d’autres, cela peut être trivial. La meilleure pratique pour sécuriser les réseaux serait de les isoler des autres appareils ou systèmes qui pourraient affaiblir la posture de sécurité par l’exploitation.

Les autres failles comprenaient un problème critique d’écriture de fichiers arbitraires (CVE-2022-31483) et une injection de commande authentifiée de haute gravité (CVE-2022-31486), qui était le seul problème qui n’avait pas encore été corrigé, selon Trellix. La société de cybersécurité pense qu’un correctif est à quelques jours de l’atterrissage.

Le lot de bogues est complété par trois problèmes de gravité élevée comprenant une paire de bogues de déni de service (DoS) (CVE-2022-31480 et CVE-2022-31482) et un problème de modification d’utilisateur non authentifié (CVE-2022-31484), plus un bogue d’usurpation d’informations non authentifiées de gravité moyenne (CVE-2022-31485).

Carrier a déclaré qu’il « contestait la notation par Trellix de ces vulnérabilités », ajoutant: « Conformément à notre engagement envers la cybersécurité de tous les produits que nous vendons, quel que soit le fabricant, nous avons déposé de manière proactive les huit CVE en tant qu’autorité de numérotation CVE au sein du programme CVE. »

‘Mesures correctives’

Les chercheurs ont déclaré qu’ils « ne s’attendaient pas à trouver des vulnérabilités logicielles héritées communes dans une technologie relativement récente », en particulier une approuvée pour une utilisation par le gouvernement fédéral américain. « Il est crucial d’évaluer de manière indépendante les certifications de tout produit avant de l’ajouter à un environnement informatique ou OT », ont-ils conseillé.

Carrier a également déclaré : « Le panneau de contrôle d’accès HID Mercury est conçu et fabriqué par le fournisseur tiers HID Mercury et revendu par un grand nombre d’autres sociétés, dont LenelS2, sous leur propre marque et celle de HID Mercury. Par conséquent, la vulnérabilité est avec HID Mercury, pas avec LenelS2 de Carrier.

« Il y avait quatre vulnérabilités zero-day identifiées par Trellix. Plus tôt cette année, ceux-ci ont été communiqués de manière proactive aux canaux de vente LenelS2 avec une atténuation temporaire et un plan de solution permanente. Les quatre autres vulnérabilités ont été patchées et corrigées avant l’évaluation de Trellix et ne sont donc pas des vulnérabilités zero-day.

« À l’heure actuelle, LenelS2 n’a connaissance d’aucune exploitation de ces vulnérabilités identifiées et n’en a été informée par HID Mercury. LenelS2 a pris des précautions et des actions correctives pour informer et traiter avec les clients et partenaires afin d’atténuer ces vulnérabilités. LenelS2 a également contacté Trellix qui mettra à jour ses documents avec quelques points de clarification.