La CISA alerte sur des failles dans des logiciels ICS et SCADA
Articles du même auteur :
1
2
3
Certaines de ces vulnérabilités sont critiques, deux ont déjà généré un exploit, et toutes ne disposent pas de correctifs
La CISA (Cybersecurity and Infrastructure Security Agency, homologue américain de l’Anssi) a publié, le 6 avril 2023, sept avis concernant des vulnérabilités dans des systèmes ICS et SCADA, provenant de plusieurs fournisseurs. Certaines de ces failles sont jugées critiques et deux d’entre elles ont déjà fait l’objet d’une exploitation publique.
Les plus problématiques sont probablement celles qui affectent les contrôleurs SCADA de la série ScadaFlex d’Industrial Control Links. Ces failles disposent en effet d’un score CVSS (Common Vulnerability Scoring System) de 9,1 sur 10 : elles pourraient permettre à un attaquant non authentifié d’écraser, de supprimer ou de créer des fichiers à distance.
La CISA souligne par ailleurs la faible complexité d’une telle attaque. Au moins un exploit de ces failles aurait d’ailleurs déjà été publié. Pire : aucun correctif n’est disponible car le fournisseur, Industrial Control Links, est en train de fermer. Les autorités américaines proposent toutefois des mesures d’atténuation.
Inquiétant également : une faille critique de « désérialisation » des données, d’un score CVSS de 9,8, affecte le logiciel FactoryTalk, de Rockwell Automation. Elle permet à un attaquant distant non authentifié d’exécuter du code avec des privilèges de niveau « system ». Aucun correctif n’est actuellement disponible, mais Rockwell travaille sur une mise à jour du logiciel.
En attendant, l’entreprise a recommandé plusieurs solutions de contournement et mesures défensives. La suite FactoryTalk équipe des équipements industriels de Rockwell dans l’agro-alimentaire, les transports et la gestion des eaux.
La CISA signale également plusieurs failles d’une haute gravité (score CVSS entre 9,8 et 9,9), mais corrigées dans des versions plus récentes du logiciel. Elles touchent :
L’avis indique également des failles de moindre gravité (de 7,8 à 8,8), disposant de correctifs. Elles concernent :