L’agence américaine de cybersécurité CISA met en garde contre deux vulnérabilités critiques qui permettent le contournement de l’authentification et l’exécution de code à distance dans les produits de commutateur d’agrégation Optigo Networks ON-S8 utilisés dans les infrastructures critiques.

Les failles concernent des problèmes d’authentification faibles, permettant de contourner les exigences de mot de passe, et des problèmes de validation des entrées utilisateur pouvant potentiellement conduire à l’exécution de code à distance, au téléchargement de fichiers arbitraires et à la traversée de répertoires.

L’appareil est utilisé dans des infrastructures critiques et des unités de fabrication dans le monde entier, et étant donné que les failles sont exploitables à distance avec une faible complexité d’attaque, le risque est jugé très élevé.

À l’heure actuelle, aucun correctif n’est disponible, il est donc recommandé aux utilisateurs d’appliquer les mesures d’atténuation suggérées proposées par le fournisseur canadien.

La première faille est suivie comme CVE-2024-41925 et est classée comme un problème d’inclusion de fichiers distants PHP (RFI) résultant d’une validation ou d’un assainissement incorrect des chemins de fichiers fournis par l’utilisateur.

Un attaquant pourrait utiliser cette vulnérabilité pour effectuer une traversée de répertoire, contourner l’authentification et exécuter du code distant arbitraire.

Le deuxième problème, suivi sous le numéro CVE-2024-45367, est un problème d’authentification faible résultant d’une application incorrecte de la vérification du mot de passe sur le mécanisme d’authentification.

L’exploitation de cela permet à un attaquant d’obtenir un accès non autorisé à l’interface de gestion des commutateurs, de modifier les configurations, d’accéder à des données sensibles ou de pivoter vers d’autres points du réseau.

Les deux problèmes ont été découverts par l’équipe Claroty82 et sont considérés comme critiques, avec un score CVSS v4 de 9,3. Les vulnérabilités affectent toutes les versions du commutateur d’agrégation de spectres ON-S8 jusqu’à la version 1.3.7 incluse.

Sécurisation des commutateurs
Bien que CISA n’ait pas vu de signes d’exploitation active de ces failles, il est recommandé aux administrateurs système d’effectuer les actions suivantes pour atténuer les failles:

  1. Isolez le trafic de gestion SS8 en le plaçant sur un VLAN dédié pour le séparer du trafic réseau normal et réduire l’exposition.
  2. Connectez-vous à une seule vue via une carte réseau dédiée sur l’ordinateur BMS pour garantir un accès sécurisé et exclusif pour la gestion du réseau OT.
  3. Configurez un pare-feu de routeur pour ajouter des périphériques spécifiques à la liste blanche, en limitant l’accès à une vue uniquement aux systèmes autorisés et en empêchant les accès non autorisés.
  4. Utilisez un VPN sécurisé pour toutes les connexions à une vue afin de garantir une communication cryptée et de vous protéger contre une interception potentielle.
  5. Suivez les conseils de cybersécurité de la CISA en effectuant des évaluations des risques, en mettant en œuvre une sécurité en couches (défense en profondeur) et en adhérant aux meilleures pratiques en matière de sécurité ICS.

CISA recommande aux organisations observant des activités suspectes sur ces appareils de suivre leurs protocoles de violation et de signaler l’incident à l’agence de cybersécurité afin qu’il puisse être suivi et corrélé avec d’autres incidents.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *