Une équipe de pirates informatiques IBM a découvert une vulnérabilité dans un composant utilisé dans des millions de périphériques Internet des objets (IoT).
La faille du module Cinterion EHS8 M2M de Thales (anciennement Gemalto) a été découverte par IBM X-Force Rouge équipe.
Après d’autres tests, Thales a confirmé que la vulnérabilité nouvellement détectée affectait également neuf autres modules de la même gamme de produits de l’EHS8, y compris le BGS5, EHS5 / 6/8, PDS5 / 6/8, ELS61, ELS81 et PLS62.
Les modules qui présentent la faiblesse sont des mini-cartes de circuits imprimés qui permettent la communication mobile dans les appareils IoT. Ces modules exécutent et stockent du code Java qui comprend fréquemment des données sensibles telles que des clés de chiffrement et des mots de passe.
Si un acteur malveillant réussissait à voler ces informations dans les modules, il pourrait potentiellement prendre le contrôle d’un appareil ou accéder au réseau de contrôle central pour mener des attaques généralisées.
Thales est l’un des principaux fabricants de composants permettant aux appareils intelligents de se connecter à Internet, de vérifier les identités et de stocker des informations en toute sécurité. Le vaste portefeuille de la société connecte plus de 3 milliards d’appareils par an, des voitures aux appareils de surveillance médicale.
Expliquant comment une telle attaque pourrait fonctionner sur un dispositif médical, un porte-parole de X-Force Red a déclaré: « Les cybercriminels pourraient manipuler les lectures des appareils de surveillance pour dissimuler des signes vitaux ou créer une fausse panique. Dans un appareil qui fournit un traitement basé sur ses entrées , comme un stimulateur cardiaque ou une pompe à insuline, ils pourraient également surdoser ou sous-doser les patients. «
Si les attaquants utilisaient la faille pour cibler des appareils énergétiques et utilitaires tels que des compteurs d’énergie intelligents, les conséquences pourraient être tout aussi graves.
Le porte-parole a déclaré: « Les attaquants pourraient pirater des compteurs intelligents pour fournir des lectures falsifiées qui augmentent ou réduisent une facture mensuelle. Avec l’accès à un grand nombre de ces appareils via un réseau de contrôle, un acteur malveillant pourrait également fermer des compteurs pour toute une -atteindre les pannes qui nécessitent des visites de réparation individuelles en personne, ou pire encore, des dommages au réseau lui-même. »
le vulnérabilité a été découvert par X-Force Red en septembre 2019 et discuté par l’équipe lors de leur événement virtuel Red Con 2020 plus tôt dans la journée.
En février 2020, Thales a publié le correctif CVE-2020-15858 aux clients.
