La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié quatre avis sur les systèmes de contrôle industriel (ICS), appelant plusieurs failles de sécurité affectant les produits de Siemens, GE Digital et Contec.
Les problèmes les plus critiques ont été identifiés dans Siemens SINEC INS qui pourraient conduire à l’exécution de code à distance via une faille de traversée de chemin (CVE-2022-45092, score CVSS : 9,9) et l’injection de commandes (CVE-2022-2068, score CVSS : 9.8).
Siemens a également corrigé une vulnérabilité de contournement d’authentification dans l’analyseur llhttp (CVE-2022-35256, score CVSS : 9,8) ainsi qu’un bogue d’écriture hors limites dans la bibliothèque OpenSSL (CVE-2022-2274, score CVSS : 9,8 ) qui pourraient être exploitées pour déclencher l’exécution de code à distance.
La société d’automatisation allemande, en décembre 2022, a publié le logiciel Service Pack 2 Update 1 pour atténuer les défauts.
Par ailleurs, une faille critique a également été révélée dans la solution Proficy Historian de GE Digital qui pourrait entraîner l’exécution de code quel que soit le statut d’authentification. Le problème, suivi comme CVE-2022-46732 (score CVSS : 9,8), affecte les versions 7.0 et supérieures de Proficy Historian, et a été corrigé dans Proficy Historian 2023.
« Un attaquant peut profiter de ce fait et contourner l’authentification de l’historien en se faisant passer pour un service local », a déclaré Uri Katz, chercheur en sécurité à la société de sécurité industrielle Claroty. « Cela permet aux attaquants distants de se connecter à n’importe quel serveur GE Proficy Historian et de le forcer à effectuer des actions non autorisées. »
La CISA a également mis à jour un avis ICS publié le mois dernier, détaillant une vulnérabilité critique d’injection de commande dans le système Contec CONPROSYS HMI (CVE-2022-44456, score CVSS : 10,0) qui pourrait permettre à un attaquant distant d’envoyer des requêtes spécialement conçues pour exécuter des commandes arbitraires. .
Bien que cette lacune ait été corrigée par Contec dans la version 3.4.5, le logiciel s’est depuis révélé vulnérable à quatre défauts supplémentaires pouvant entraîner la divulgation d’informations et un accès non autorisé.
Il est recommandé aux utilisateurs du système CONPROSYS HMI de mettre à jour vers la version 3.5.0 ou ultérieure, en plus de prendre des mesures pour minimiser l’exposition du réseau et isoler ces appareils des réseaux d’entreprise.
Les avis surviennent moins d’une semaine après que la CISA a publié 12 alertes de ce type avertissant de failles critiques affectant les logiciels de Sewio, InHand Networks, Sauter Controls et Siemens.