Rockwell Automation indique qu’un nouvel exploit d’exécution de code à distance (RCE) lié à un groupe APT (Advanced Persistent Threat) sans nom pourrait être utilisé pour cibler des modules de communication ControlLogix non corrigés couramment utilisés dans les industries de la fabrication, de l’électricité, du pétrole et du gaz et du gaz naturel liquéfié.

La société s’est associée à la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis pour analyser l’exploit lié aux acteurs de la menace APT, mais ils n’ont pas encore partagé comment ils l’ont obtenu.

« Rockwell Automation, en coordination avec le gouvernement américain, a analysé une nouvelle capacité d’exploit attribuée aux acteurs de la menace persistante avancée (APT) affectant certains modules de communication », a déclaré la société dans un avis de sécurité accessible uniquement après la connexion.

« Nous ne sommes pas au courant de l’exploitation actuelle tirant parti de cette capacité, et la victimisation prévue reste incertaine. »

La vulnérabilité ciblée (identifiée CVE-2023-3595) est causée par une faiblesse d’écriture hors limites qui peut permettre aux attaquants d’obtenir l’exécution de code à distance ou de déclencher des états de déni de service via des messages CIP conçus de manière malveillante.

Après une exploitation réussie, des acteurs malveillants pourraient également manipuler le micrologiciel du module, effacer la mémoire du module, modifier le trafic de données vers et depuis le module, établir un contrôle persistant et potentiellement avoir un impact sur le processus industriel qu’il prend en charge.

« Cela pourrait entraîner des actions destructrices là où des modules vulnérables sont installés, y compris des infrastructures critiques », a ajouté Rockwell.

Les clients sont invités à patcher tous les produits concernés
Rockwell conseille fortement d’appliquer les correctifs de sécurité qu’il a publiés pour tous les produits concernés (y compris ceux qui ne sont plus pris en charge). Il fournit également des règles de détection pour aider les défenseurs à détecter les tentatives d’exploitation au sein de leurs réseaux.

La CISA a également publié un avis avertissant les clients de Rockwell de corriger la vulnérabilité critique RCE afin de contrecarrer les attaques entrantes potentielles.

« Connaître une vulnérabilité appartenant à APT avant son exploitation est une opportunité rare de défense proactive pour les secteurs industriels critiques », a déclaré la société de cybersécurité industrielle Dragos qui a également analysé l’exploit APT.

« Nous savons qu’il existe un exploit appartenant à un APT inconnu et nous n’avons vu ni ne sommes au courant d’aucune exploitation dans la nature », a déclaré Kevin Woolf, analyste principal des menaces chez Dragos, à Breachtrace.

Selon Dragos, le niveau d’accès facilité par la vulnérabilité CVE-2023-3595 est similaire au zero-day exploité par le groupe de menaces XENOTIME lié à la Russie, qui a utilisé le logiciel malveillant destructeur TRISIS (alias TRITON) contre l’équipement Schneider Electric Triconex ICS dans attentats de 2017.

« La cyberactivité précédente des acteurs de la menace impliquant des systèmes industriels suggère une forte probabilité que ces capacités aient été développées dans le but de cibler des infrastructures critiques et que la portée des victimes puisse inclure des clients internationaux », a également averti Rockwell.

« L’activité de menace est sujette à changement et les clients utilisant les produits concernés pourraient faire face à de graves risques s’ils sont exposés. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *