Un ensemble de 38 vulnérabilités de sécurité a été découverte dans les appareils de l’Internet industriel des objets (IIoT) sans fil de quatre fournisseurs différents qui pourraient constituer une surface d’attaque importante pour les acteurs de la menace cherchant à exploiter les environnements de technologie opérationnelle (OT).
« Les acteurs de la menace peuvent exploiter les vulnérabilités des appareils IIoT sans fil pour obtenir un accès initial aux réseaux OT internes », a déclaré la société israélienne de cybersécurité industrielle Otorio. « Ils peuvent utiliser ces vulnérabilités pour contourner les couches de sécurité et infiltrer les réseaux cibles, mettant en danger les infrastructures critiques ou interrompant la fabrication. »
Les failles, en un mot, offrent un point d’entrée à distance pour l’attaque, permettant à des adversaires non authentifiés de prendre pied et de l’utiliser ensuite comme levier pour se propager à d’autres hôtes, causant ainsi des dommages importants.
Certaines des lacunes identifiées pourraient être enchaînées pour donner à un acteur externe un accès direct à des milliers de réseaux OT internes sur Internet, a déclaré le chercheur en sécurité Roni Gavrilov.
Sur les 38 défauts, trois affectent le serveur d’accès à distance (RAS) d’ETIC Telecom – CVE-2022-3703, CVE-2022-41607 et CVE-2022-40981 – et pourraient être exploités pour prendre complètement le contrôle des appareils sensibles.
Cinq autres vulnérabilités concernent InHand Networks InRouter 302 et InRouter 615 qui, si elles sont exploitées, pourraient entraîner l’injection de commandes, la divulgation d’informations et l’exécution de code.
Plus précisément, cela implique de tirer parti des problèmes de la plate-forme cloud « Device Manager », qui permet aux opérateurs d’effectuer des actions à distance telles que des modifications de configuration et des mises à niveau du micrologiciel, pour compromettre chaque périphérique InRouter géré dans le cloud avec des privilèges root.
Deux faiblesses du routeur Sierra Wireless AirLink Router (CVE-2022-46649 et CVE-2022-46650) ont également été identifiées qui pourraient permettre une perte d’informations sensibles et l’exécution de code à distance. Les défauts restants sont toujours sous divulgation responsable.
Les résultats soulignent comment les réseaux OT pourraient être mis en danger en rendant les appareils IIoT directement accessibles sur Internet, créant ainsi un « point de défaillance unique » qui peut contourner toutes les protections de sécurité.
Alternativement, les attaquants locaux peuvent s’introduire dans les points d’accès Wi-Fi industriels et les passerelles cellulaires en ciblant les canaux Wi-Fi ou cellulaires sur site, ce qui conduit à des scénarios d’adversaire au milieu (AitM) avec un impact potentiel négatif.
Les agressions peuvent aller du ciblage de systèmes de cryptage faibles à des attaques de coexistence visant des puces combinées largement utilisées dans les appareils électroniques.
Pour y parvenir, les acteurs de la menace peuvent utiliser des plates-formes telles que WiGLE – une base de données de différents points d’accès sans fil dans le monde – pour identifier les environnements industriels de grande valeur, les localiser physiquement et exploiter les points d’accès à proximité, a noté Otorio.
Comme contre-mesures, il est recommandé de désactiver les schémas de chiffrement non sécurisés, de masquer les noms de réseau Wi-Fi, de désactiver les services de gestion de cloud inutilisés et de prendre des mesures pour empêcher les appareils d’être accessibles au public.
« La faible complexité de l’exploit, combinée à l’impact potentiel étendu, fait des appareils IIoT sans fil et de leurs plates-formes de gestion basées sur le cloud une cible attrayante pour les attaquants cherchant à pénétrer dans les environnements industriels », a déclaré la société.
Le développement intervient également alors qu’Otorio a divulgué les détails de deux failles de haute gravité dans Siemens Automation License Manager (CVE-2022-43513 et CVE-2022-43514) qui pourraient être combinées pour obtenir l’exécution de code à distance et l’élévation des privilèges. Les bogues ont été corrigés par Siemens en janvier 2023.