Certaines de ces vulnérabilités sont critiques, deux ont déjà généré un exploit, et toutes ne disposent pas de correctifs

La CISA (Cybersecurity and Infrastructure Security Agency, homologue américain de l’Anssi) a publié, le 6 avril 2023, sept avis concernant des vulnérabilités dans des systèmes ICS et SCADA, provenant de plusieurs fournisseurs. Certaines de ces failles sont jugées critiques et deux d’entre elles ont déjà fait l’objet d’une exploitation publique.

Les plus problématiques sont probablement celles qui affectent les contrôleurs SCADA de la série ScadaFlex d’Industrial Control Links. Ces failles disposent en effet d’un score CVSS (Common Vulnerability Scoring System) de 9,1 sur 10 : elles pourraient permettre à un attaquant non authentifié d’écraser, de supprimer ou de créer des fichiers à distance.

La CISA souligne par ailleurs la faible complexité d’une telle attaque. Au moins un exploit de ces failles aurait d’ailleurs déjà été publié. Pire : aucun correctif n’est disponible car le fournisseur, Industrial Control Links, est en train de fermer. Les autorités américaines proposent toutefois des mesures d’atténuation.

Inquiétant également : une faille critique de « désérialisation » des données, d’un score CVSS de 9,8, affecte le logiciel FactoryTalk, de Rockwell Automation. Elle permet à un attaquant distant non authentifié d’exécuter du code avec des privilèges de niveau « system ». Aucun correctif n’est actuellement disponible, mais Rockwell travaille sur une mise à jour du logiciel.

En attendant, l’entreprise a recommandé plusieurs solutions de contournement et mesures défensives. La suite FactoryTalk équipe des équipements industriels de Rockwell dans l’agro-alimentaire, les transports et la gestion des eaux.

La CISA signale également plusieurs failles d’une haute gravité (score CVSS entre 9,8 et 9,9), mais corrigées dans des versions plus récentes du logiciel. Elles touchent :

  • les versions 8.26.0 et antérieures du logiciel mySCADA myPRO, utilisé notamment dans l’énergie, l’agro-alimentaire, les transports et la gestion de l’eau ;
  • les versions 1.2 FP3 HF4 et antérieures du logiciel Hitachi MicroSCADA System Data Manager SDM600, spécialisé dans les installations énergétiques.

L’avis indique également des failles de moindre gravité (de 7,8 à 8,8), disposant de correctifs. Elles concernent :

  • le logiciel de programmation PLC Kostac de Koyo Electronics, une filiale du groupe JTEKT ;
  • le programme d’enregistrement d’écran Screen Creator Advance 2 de JTEKT ;
  • plusieurs modèles de passerelles de communication industrielle Korenix JetWave.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.