Des chercheurs en sécurité mettent en garde contre des failles de la pile TCP/IP dans certains équipements industriels

Sécurité : Les chercheurs de Forescout révèlent INFRA:HALT, un ensemble de 14 vulnérabilités de sécurité dans les piles TCP/IP couramment utilisées dans les infrastructures industrielles. Les organisations sont invitées à appliquer les mises à jour.

Les failles de sécurité dans les protocoles de communication utilisés par les systèmes de contrôle industriels pourraient permettre à des attaquants d’altérer ou de perturber les services, ainsi que d’accéder aux données du réseau.

Baptisé INFRA:HALT, cet ensemble de 14 vulnérabilités de sécurité a été détaillé par des chercheurs en cybersécurité de Forescout Research Labs et JFrog Security Research. Les auteurs préviennent que si elles ne sont pas corrigées, ces failles pourraient permettre l’exécution de code à distance, un déni de service ou même des fuites d’informations.

Toutes les vulnérabilités concernent les piles TCP/IP – protocoles de communication couramment utilisés dans les appareils connectés – dans NicheStack, utilisé dans les technologies opérationnelles et les infrastructures industrielles.

Archéologie de la sécurité

Certaines des vulnérabilités récemment découvertes datent de plus de 20 ans, un problème courant dans la technologie industrielle, qui fonctionne encore souvent avec des protocoles développés et produits il y a des années. Plus de 200 fournisseurs, dont Siemens, utilisent les bibliothèques NicheStack et il est conseillé aux utilisateurs d’appliquer les correctifs de sécurité.

Forescout a détaillé chacune des vulnérabilités dans un billet de blog – elles sont liées à des paquets mal formés qui permettent à un attaquant d’envoyer des instructions pour lire ou écrire sur des parties de la mémoire auxquelles il ne devrait pas avoir accès. Cela peut faire planter l’appareil et perturber les réseaux, tout en permettant aux attaquants de créer un shellcode pour effectuer des actions malveillantes, y compris prendre le contrôle de l’appareil.

La divulgation de ces nouvelles vulnérabilités s’inscrit dans la continuité du Projet Memoria, l’initiative de recherche de Forescout qui examine les vulnérabilités des piles TCP/IP et la manière de les atténuer. Les vulnérabilités INFRA:HALT ont été découvertes grâce aux recherches en cours.

Toutes les versions de NicheStack antérieures à la version 4.3, y compris NicheLite, sont affectées par ces vulnérabilités. Celles-ci ont été divulguées à HCC Embedded, qui a acquis NicheStack en 2016.

L’étendue totale des appareils vulnérables est incertaine, mais les chercheurs ont pu identifier plus de 6 400 appareils vulnérables en utilisant Shodan, le moteur de recherche de l’Internet des objets.

« Lorsque vous avez affaire à une technologie industrielle, bloquer des appareils et bloquer des systèmes est quelque chose qui peut avoir diverses conséquences graves. Il existe également des possibilités d’exécution de code à distance, des vulnérabilités qui permettraient à l’attaquant de prendre le contrôle d’un appareil, et pas seulement de le faire tomber en panne, mais de le faire se comporter d’une manière qui n’est pas prévue ou de l’utiliser pour pivoter au sein du réseau », a déclaré à ZDNet Daniel dos Santos, directeur de recherche aux laboratoires de recherche Forescout.

Pour exécuter un code à distance, les attaquants doivent avoir une connaissance détaillée des systèmes, mais faire tomber l’appareil est une autre solution plus facile à utiliser et qui peut avoir des conséquences importantes, surtout si les appareils permettent de contrôler ou de surveiller des infrastructures critiques.

Divulgation coordonnée

Forescout et JFrog Security Research ont contacté HCC Embedded pour divulguer les vulnérabilités, et ont également contacté le CERT dans le cadre du processus coordonné de divulgation des vulnérabilités. HCC Embedded a confirmé que Forescout les a contactés au sujet des vulnérabilités et que des correctifs ont été publiés pour les atténuer.

« Nous avons corrigé ces vulnérabilités au cours des six derniers mois environ et nous avons publié des correctifs pour chaque client qui maintient son logiciel », a déclaré Dave Hughes, PDG de HCC Embedded, à ZDNet, ajoutant que si les environnements sont correctement configurés, il est peu probable que les attaquants puissent insérer du code ou prendre le contrôle des appareils.

« Ce sont des vulnérabilités réelles, ce sont des faiblesses dans la pile. Cependant, la plupart d’entre elles sont extrêmement dépendantes de la façon dont vous utilisez le logiciel et dont vous l’intégrez. »

« S’ils ont un département de sécurité qui comprend les attaques de type DNS poisonning et d’autres choses de ce genre, ils ne seront pas du tout vulnérables parce qu’ils ont configuré les choses de manière sûre », a déclaré Hughes.

Les chercheurs ont également contacté des organismes de coordination, notamment le centre de coordination CERT,le BSI (l’autorité fédérale allemande chargée de la cybersécurité) et l’ICS-CERT (l’équipe d’intervention d’urgence pour les systèmes de contrôle industriel) au sujet des vulnérabilités. Siemens a également publié un avis sur les vulnérabilités – bien que seules quatre des vulnérabilités affectent les produits Siemens.

Pour aider à protéger la technologie industrielle contre les attaques informatiques, les chercheurs de Forescout recommandent de mettre en place une segmentation du réseau, afin que les appareils qui n’ont pas besoin d’être exposés sur Internet ne puissent pas être découverts à distance – et que les appareils qui n’ont pas besoin d’être connectés à Internet se trouvent sur un réseau distinct et protégé.

Forescout a publié un script open source pour détecter les appareils fonctionnant avec NicheStack afin de contribuer à la visibilité des failles et à leur correction.

Source : ZDNet.com

Catégories