Siemens a expédié vendredi des mises à jour confirmées pour remédier à une vulnérabilité grave dans les automates programmables industriels (API) SIMATIC S7-1200 et S7-1500 qui pourrait être exploitée par un acteur malveillant pour accéder à distance aux zones protégées de la mémoire et obtenir un code illimité et non détecté. exécution, dans ce que les chercheurs décrivent comme le «Saint Graal» d’un attaquant.

La vulnérabilité de contournement de la protection de la mémoire, suivie CVE-2020-15782 (Score CVSS: 8,1), a été découvert par la société de sécurité des technologies opérationnelles Claroty par rétro-ingénierie du langage bytecode MC7 / MC7 + utilisé pour exécuter des programmes PLC dans le microprocesseur. Il n’y a aucune preuve que la faiblesse a été abusée dans la nature.

auditeur de mot de passe

Dans un consultatif publié par Siemens, la société allemande d’automatisation industrielle a déclaré qu’un attaquant distant non authentifié disposant d’un accès réseau au port TCP 102 pourrait potentiellement écrire des données et du code arbitraires dans des zones de mémoire protégées ou lire des données sensibles pour lancer de nouvelles attaques.

“La réalisation de l’exécution de code natif sur un système de contrôle industriel tel qu’un contrôleur logique programmable est un objectif final que relativement peu d’attaquants avancés ont atteint”, explique Tal Keren, chercheur à Claroty. mentionné. “Ces systèmes complexes ont de nombreuses protections en mémoire qui devraient être bloquées pour qu’un attaquant puisse non seulement exécuter le code de son choix, mais aussi rester non détecté.”

Non seulement la nouvelle faille permet à un adversaire d’obtenir l’exécution de code natif sur les automates Siemens S7, mais l’attaque à distance sophistiquée évite également la détection par le système d’exploitation sous-jacent ou tout logiciel de diagnostic en échappant au bac à sable de l’utilisateur pour écrire des données arbitraires et du code directement dans protégé régions de mémoire.

Claroty, cependant, a noté que l’attaque nécessiterait un accès réseau à l’automate ainsi que des «droits de téléchargement de l’automate». En jailbreaker le bac à sable natif de l’API, la société a déclaré qu’elle était en mesure d’injecter un programme malveillant au niveau du noyau dans le système d’exploitation de manière à autoriser l’exécution de code à distance.

C’est loin d’être la première fois qu’une exécution de code non autorisée est réalisée sur des API Siemens. En 2010, l’infâme Stuxnet worm a exploité plusieurs failles de Windows pour reprogrammer les systèmes de contrôle industriels en modification du code sur les API Siemens pour le cyberespionnage et le sabotage secret.

Puis en 2019, les chercheurs ont démontré une nouvelle classe d’attaques appelée “Voleur7“qui a exploité les vulnérabilités de son protocole de communication S7 propriétaire pour” créer une station d’ingénierie non autorisée qui peut se faire passer pour le TIA à l’automate et injecter tous les messages favorables à l’attaquant. “

Siemens recommande «fortement» aux utilisateurs de mettre à jour les dernières versions pour réduire le risque. La société a déclaré qu’elle préparait également d’autres mises à jour et exhortait les clients à appliquer des contre-mesures et des solutions de contournement pour les produits pour lesquels les mises à jour ne sont pas encore disponibles.



Leave a Reply