La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié cette semaine un avis d’avertissement sur les systèmes de contrôle industriel (ICS) concernant de multiples vulnérabilités dans le logiciel d’ingénierie Mitsubishi Electric GX Works3.

« L’exploitation réussie de ces vulnérabilités pourrait permettre à des utilisateurs non autorisés d’accéder aux modules CPU de la série MELSEC iQ-R/F/L et au module serveur OPC UA de la série MELSEC iQ-R ou de visualiser et d’exécuter des programmes », a déclaré l’agence.

GX Works3 est un logiciel de poste de travail d’ingénierie utilisé dans les environnements ICS, agissant comme un mécanisme pour télécharger et télécharger des programmes depuis/vers le contrôleur, résoudre les problèmes logiciels et matériels et effectuer des opérations de maintenance.

Le large éventail de fonctions fait également de la plate-forme une cible attrayante pour les acteurs de la menace qui cherchent à compromettre ces systèmes pour réquisitionner les automates gérés.

Trois des 10 lacunes concernent le stockage en clair de données sensibles, quatre concernent l’utilisation d’une clé cryptographique codée en dur, deux concernent l’utilisation d’un mot de passe codé en dur et une concerne un cas d’identifiants insuffisamment protégés.

Les bogues les plus critiques, CVE-2022-25164 et CVE-2022-29830, portent un score CVSS de 9,1 et pourraient être abusés pour accéder au module CPU et obtenir des informations sur les fichiers du projet sans nécessiter aucune autorisation.

Nozomi Networks, qui a découvert CVE-2022-29831 (score CVSS : 7,5), a déclaré qu’un attaquant ayant accès à un fichier de projet d’automate de sécurité pourrait exploiter le mot de passe codé en dur pour accéder directement au module CPU de sécurité et potentiellement perturber les processus industriels.

« Les logiciels d’ingénierie représentent un élément essentiel de la chaîne de sécurité des contrôleurs industriels », a déclaré la société. « Si des vulnérabilités devaient survenir, les adversaires pourraient en abuser pour finalement compromettre les appareils gérés et, par conséquent, le processus industriel supervisé. »

La divulgation intervient alors que la CISA a révélé les détails d’une vulnérabilité de déni de service (DoS) dans la série Mitsubishi Electric MELSEC iQ-R qui découle d’un manque de validation d’entrée appropriée (CVE-2022-40265, score CVSS : 8,6).

« L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant non authentifié de provoquer une condition de déni de service sur un produit cible en envoyant des paquets spécialement conçus », a noté CISA.

Dans un développement connexe, l’agence de cybersécurité a en outre décrit trois problèmes affectant le contrôleur compact à distance (RCC) 972 de Horner Automation, dont le plus critique (CVE-2022-2641, score CVSS : 9,8) pourrait entraîner l’exécution de code à distance ou provoquer un Condition DoS.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *