Près de cinq douzaines de vulnérabilités de sécurité ont été révélées dans les appareils de 10 fournisseurs de technologies opérationnelles (OT) en raison de ce que les chercheurs appellent des «pratiques non sécurisées dès la conception».
collectivement doublé OT : CHUTE DE GLACE par Forescout, les 56 numéros couvrent jusqu’à 26 modèles d’appareils de Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, Omron, Phoenix Contact, Siemens et Yokogawa.
« En exploitant ces vulnérabilités, les attaquants ayant un accès réseau à un appareil cible pourraient exécuter du code à distance, modifier la logique, les fichiers ou le micrologiciel des appareils OT, contourner l’authentification, compromettre les informations d’identification, provoquer des dénis de service ou avoir divers impacts opérationnels », a déclaré la société. dit dans un rapport technique.
Ces vulnérabilités pourraient avoir des conséquences désastreuses étant donné que les produits concernés sont largement utilisés dans les industries d’infrastructures critiques telles que le pétrole et le gaz, la chimie, le nucléaire, la production et la distribution d’électricité, la fabrication, le traitement et la distribution de l’eau, l’exploitation minière et l’automatisation des bâtiments.
Sur les 56 vulnérabilités découvertes, 38 % permettent la compromission des informations d’identification, 21 % permettent la manipulation du micrologiciel, 14 % permettent l’exécution de code à distance et 8 % des failles permettent la falsification des informations de configuration.
En plus de permettre potentiellement à un attaquant de fournir du code arbitraire et d’apporter des modifications non autorisées au micrologiciel, les faiblesses pourraient également être exploitées pour mettre un appareil complètement hors ligne et contourner les fonctions d’authentification existantes pour invoquer toute fonctionnalité sur les cibles.
Plus important encore, les schémas d’authentification brisés – y compris le contournement, l’utilisation de protocoles cryptographiques à risque, les informations d’identification codées en dur et en clair – représentaient 22 des 56 failles, indiquant des « contrôles de sécurité inférieurs à la moyenne » lors de la mise en œuvre.
Dans un scénario hypothétique du monde réel, ces lacunes pourraient être utilisées comme armes contre les gazoducs, les éoliennes ou les chaînes de montage de fabrication discrètes pour perturber le transport du carburant, annuler les paramètres de sécurité, interrompre la capacité de contrôler les stations de compression et modifier le fonctionnement de la logique programmable. contrôleurs (automates).
Mais les menaces ne sont pas seulement théoriques. Une faille d’exécution de code à distance affectant les contrôleurs Omron NJ/NX (CVE-2022-31206) a en fait été exploitée par un acteur aligné sur l’état appelé CHERNOVITE pour développer un morceau d’un malware sophistiqué nommé PIPEDREAM (alias INCONTROLLER).
La gestion des risques est compliquée par l’interconnexion croissante entre les réseaux informatiques et OT, associée à la nature opaque et exclusive de nombreux systèmes OT, sans parler de l’absence de CVE, rendant invisibles les problèmes persistants et conservant ces fonctionnalités non sécurisées par conception pour un long moment.
Pour atténuer OT:ICEFALL, il est recommandé de découvrir et d’inventorier les appareils vulnérables, d’appliquer la segmentation des actifs OT, de surveiller le trafic réseau pour détecter toute activité anormale et de se procurer des produits sécurisés dès la conception pour renforcer la chaîne d’approvisionnement.
« Le développement de logiciels malveillants récents ciblant les infrastructures critiques, telles que Industroyer2, Triton et INCONTROLLER, a montré que les acteurs de la menace sont conscients de la nature non sécurisée par conception de la technologie opérationnelle et sont prêts à l’exploiter pour semer le chaos », ont déclaré les chercheurs.
« Malgré le rôle important que jouent les efforts de renforcement axés sur les normes dans la sécurité OT, les produits dotés de fonctionnalités non sécurisées par conception et de contrôles de sécurité trivialement brisés ont continué à être certifiés. »
