
Des vulnérabilités critiques identifiées dans des logiciels d’automatisation industrielle
Articles du même auteur :
2
3
4
Microsoft a repéré seize failles dans un logiciel de Codesys équipant les plus grands fabricants d’ICS
Le 10 août 2023, Microsoft a révélé la présence de seize vulnérabilités affectant Codesys Control V3, un logiciel d’automatisation industrielle, dans ses versions « antérieures à 3.5.19.0 ». Codesys est une entreprise allemande qui fournit des solutions aux principaux fabricants mondiaux de systèmes de contrôle industriels (ICS). Le logiciel en question permet de gérer environ 1 000 types d’équipements industriels différents, fabriqués par plus de 500 entreprises à travers le monde. En conséquence, ces vulnérabilités pourraient potentiellement toucher plusieurs millions d’appareils.
Les chercheurs de Microsoft ont informé Codesys de leur découverte en septembre 2022. Des correctifs sont disponibles depuis avril 2023. Microsoft a classé toutes les failles dans la catégorie « gravité élevée ».Bien que leur exploitation nécessite une connaissance approfondie du protocole propre à Codesys V3 et une authentification de l’utilisateur, Microsoft souligne que des failles antérieures dans Codesys Control pourraient permettre d’obtenir un tel accès.
L’exploitation de ces vulnérabilités pourrait notamment entraîner des attaques par déni de service, susceptibles d’interrompre les opérations industrielles, ou encore l’exécution de code à distance « pour déployer une porte dérobée en vue de voler des données sensibles, altérer les opérations ou forcer un ICS à fonctionner de manière dangereuse », selon les indications de Microsoft.