07 avril 2023Ravie LakshmananSystème de contrôle industriel

Avis Sur Les Systèmes De Contrôle Industriels (Ics)

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié huit Avis sur les systèmes de contrôle industriel (ICS) avertissant des défauts critiques affectant les produits de Hitachi Energy, mySCADA Technologies, Industrial Control Links et Nexx.

En tête de liste est CVE-2022-3682 (score CVSS : 9,9), affectant le système MicroSCADA System Data Manager SDM600 d’Hitachi Energy, qui pourrait permettre à un attaquant de prendre le contrôle à distance du produit.

La faille provient d’un problème de validation des autorisations de fichiers, permettant ainsi à un adversaire de télécharger un message spécialement conçu sur le système, conduisant à l’exécution de code arbitraire.

Hitachi Energy a publié SDM600 1.3.0.1339 pour atténuer le problème pour les versions SDM600 antérieures à la version 1.2 FP3 HF4 (Build Nr. 1.2.23000.291).

Publicité

Un autre ensemble de cinq vulnérabilités critiques – CVE-2023-28400, CVE-2023-28716, CVE-2023-28384, CVE-2023-29169et CVE-2023-29150 (Scores CVSS : 9,9) – concernent les bogues d’injection de commandes présents dans mySCADA myPRO versions 8.26.0 et antérieures.

« L’exploitation réussie de ces vulnérabilités pourrait permettre à un utilisateur authentifié d’injecter des commandes arbitraires du système d’exploitation », a averti la CISA, exhortant les utilisateurs à mettre à jour vers la version 8.29.0 ou supérieure.

Un bogue de sécurité critique a également été divulgué dans les contrôleurs SCADA ScadaFlex II de Industrial Control Links (CVE-2022-25359score CVSS : 9,1) qui pourrait permettre à un attaquant authentifié d’écraser, de supprimer ou de créer des fichiers.

« Industrial Control Links a fait savoir qu’ils fermaient leur entreprise », a indiqué l’agence. « Ce produit peut être considéré comme en fin de vie ; une assistance continue pour ce produit peut ne pas être disponible. »

Il est recommandé aux utilisateurs de minimiser l’exposition du réseau, d’isoler les réseaux du système de contrôle des réseaux d’entreprise et de les placer derrière des pare-feu pour faire face aux risques potentiels.

La liste est complétée par cinq défauts, dont un bug critique (CVE-2023-1748score CVSS : 9,3), ayant un impact sur les contrôleurs de porte de garage, les prises intelligentes et les alarmes intelligentes vendues par Nexx.

Selon un chercheur en sécurité, les vulnérabilités qui pourraient permettre aux acteurs de la menace de casser les portes de garage des maisons, de prendre le contrôle des prises intelligentes et de prendre le contrôle à distance des alarmes intelligentes Sam Sabétanqui a découvert et signalé les problèmes.

WEBINAIRE À VENIR

Apprenez à sécuriser le périmètre d’identité – Stratégies éprouvées

Améliorez la sécurité de votre entreprise grâce à notre prochain webinaire sur la cybersécurité dirigé par des experts : Explorez les stratégies de périmètre d’identité !

Ne manquez rien – Réservez votre siège !

Les versions suivantes des appareils domestiques intelligents Nexx sont concernées :

  • Contrôleur de porte de garage Nexx (NXG-100B, NXG-200) – Version nxg200v-p3-4-1 et antérieure
  • Prise intelligente Nexx (NXPG-100W) – Version nxpg100cv4-0-0 et antérieure
  • Nexx Smart Alarm (NXAL-100) – Version nxal100v-p1-9-1 et antérieure

« L’exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant de recevoir des informations sensibles, d’exécuter des requêtes d’interface programmable d’application (API) ou de détourner des appareils », a déclaré CISA.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentCommande SCP Linux – Transférer des fichiers en toute sécurité sous Linux
Article suivantThe Outer Banks Voice – Southern Shores achète la maison de la OBX Community Foundation
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici