Triton : Schneider Electric reconnaît une vulnérabilité dans Triconex

C’est sur scène, lors de l’événement S4 dédié à la sécurité des systèmes de contrôle industriel, qui s’achève actuellement à Miami, que Schneider Electric l’a révélé : le maliciel Triton, qui s’attaque à ses systèmes de sûreté Triconex, utilise bien une faille dans ces derniers. Selon nos confrères de Reuters, initialement, le groupe avait indiqué à ses clients ne pas penser à cette hypothèse. Mais voilà, depuis les révélations du mois de décembre, il a eu le temps d’enquêter.

At #S4x18 @SchneiderElec discloses that Triton malware exploited 16 year old zero-day in Triconex to escalate privileges

— Claroty (@ClarotyLtd) January 18, 2018

Devant ses pairs de l’industrie, Paul Forney, architecte sécurité en chef de Schneider Electric, a donc levé le voile sur les fruits de ses recherches. Et il s’avère que Triton exploite une vulnérabilité vieille de seize ans, mais inconnue jusqu’ici. Et celle-ci n’est pas anodine : elle permet une élévation de privilèges dans les contrôleurs. Le maliciel la met à profit pour injecter un cheval de Troie de prise de contrôle à distance dans son firmware.

#s4x18 TRITON/TRISIS used a zero day to elevate privilege on the 16 year old Triconex controller... persistent RAT in the firmware on the controller....

— Marty Edwards (@ics_Marty) January 18, 2018

Schneider Electric propose désormais à ses clients un outil permettant de détecter la présence de Triton sur ses contrôleurs Triconex. Mais le groupe n’a pu que souligner la nature hautement ciblée de ce maliciel, utilisé dans une attaque « qui présente tous les signes d’une opération conduite par un Etat-nation ».

C’est mi-décembre dernier que les équipes de Mandiant et de Dragos ont levé le voile sur Triton, soulignant au passage eux-aussi la nature hautement ciblée de l’opération : « chaque système de sûreté industriel (SIS) est unique et comprendre les implications des processus en nécessite une connaissance spécifique ».

Pour les équipes de Dragos, si celui qu’ils appellent Trisis s’inscrit dans la lignée de Stuxnet et d’Industroyer, ou encore d’Havex, il marque toutefois un tournant : il s’agit du premier maliciel conçu pour les SIS, et peut servir de modèle pour d’autres.

Et justement, des échantillons de Triton/Tritis semblent avoir été rendus publiquement accessibles par inadvertance, fin décembre, sur au moins deux sources. Marcin Dudek, spécialiste polonais de la sécurité des systèmes informatiques et industriels, les a depuis publiés sur GitHub, accompagnés de leur code décompilé – en python.