La CISA pointe une faille critique sur un équipement SCADA

La CISA, équivalent américain de l’Anssi, a alerté, le 18 juin 2024, sur une vulnérabilité critique affectant le routeur / commutateur SecFlow-2 de la société israélienne RAD Data Communications. Cet équipement dispose d’un contrôleur SCADA intégré pour les applications industrielles critiques, en particulier dans des environnements difficiles, voire hostiles.

SecFlow-2 bénéficie ainsi de nombreuses certifications assurant son utilisation dans des conditions extrêmes. Il garantit notamment une large plage de températures de fonctionnement sans ventilateur (de -40 à +70°C), ainsi qu’une immunité aux interférences électromagnétiques.

Les conséquences de la faille CVE-2019-6268 mise à jour par la CISA pourraient être graves, et affecter directement les processus opérationnels. « L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant d’obtenir des fichiers du système d’exploitation en élaborant une requête spéciale », lit-on dans le rapport de la CISA.

Pour réduire ces risques, l’agence gouvernementale fait les recommandations suivantes :

• minimiser l’exposition de tous les ICS, en s’assurant qu’ils ne sont pas connectés à Internet ;
• placer les systèmes de contrôle à distance derrière des pare-feu et les isoler des réseaux d’entreprise ;
• lorsqu’un accès à distance est nécessaire, renforcer la sécurité des communications, notamment en utilisant des VPN.

La CISA souligne toutefois qu’un VPN peut présenter des vulnérabilités, et doit être mis à jour avec la version la plus récente disponible. Plus globalement, l’agence « rappelle aux organisations qu’elles doivent procéder à une analyse d’impact et à une évaluation appropriée des risques avant de déployer des mesures défensives ».

De son côté, RAD Data Communications a indiqué que SecFlow-2 était en fin d’exploitation, et a conseillé à ses utilisateurs de passer à la gamme SecFlow-1p, « plus sûre ».