L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié mardi deux systèmes de contrôle industriel (ICS) avis concernant de graves défauts dans les appliances Advantech R-SeeNet et Hitachi Energy APM Edge.
Il s’agit de trois faiblesses dans la solution de surveillance R-SeeNet, dont l’exploitation réussie « pourrait entraîner la suppression à distance de fichiers du système par un attaquant non autorisé ou l’exécution de code à distance ».
La liste des problèmes qui affectent les versions 2.4.17 et antérieures de R-SeeNet est la suivante :
- CVE-2022-3385 et CVE-2022-3386 (Scores CVSS : 9,8) – Deux défauts de débordement de tampon basés sur la pile qui pourraient conduire à l’exécution de code à distance
- CVE-2022-3387 (Score CVSS : 6,5) – Une faille de traversée de chemin qui pourrait permettre à un attaquant distant de supprimer des fichiers PDF arbitraires
Des correctifs ont été mis à disposition dans la version R-SeeNet version 2.4.21 sortie le 30 septembre 2022.
La CISA a également publié une mise à jour d’un avis de décembre 2021 sur de multiples failles dans Hitachi Energy Transformer Asset Performance Management (APM) Produits Edge qui pourraient les rendre inaccessibles.
Les 29 vulnérabilités, collectivement attribuées à un score CVSS de 8,2, proviennent de failles de sécurité dans des composants logiciels open source tels que OpenSSL, LibSSL, libxml2 et GRUB2 bootloader. Il est recommandé aux utilisateurs de mettre à jour vers APM Edge version 4.0 pour corriger les bogues.
Les alertes jumelles surviennent moins d’une semaine après CISA publié 25 avis ICS le 13 octobre 2022, couvrant plusieurs vulnérabilités sur des appareils de Siemens, Hitachi Energy et Mitsubishi Electric.
Selon la société de surveillance de la cybersécurité et des actifs OT SynSaber, 681 vulnérabilités de produits ICS ont été signalées via CISA au cours du premier semestre 2022, dont 152 sont classées critiques, 289 sont classées élevées et 2015 sont classées moyennes en gravité.
De plus, 54 des CVE critiques/élevés n’ont aucun correctif ni aucune atténuation disponible auprès des fournisseurs, ce qui représente 13 % du total des failles signalées et les « vulnérabilités permanentes » restantes.
« Il est important pour les propriétaires d’actifs et ceux qui défendent les infrastructures critiques de comprendre quand des corrections sont disponibles et comment ces corrections doivent être mises en œuvre et hiérarchisées », a déclaré SynSaber. a dit.