Systèmes industriels : 56 vulnérabilités chez 10 fournisseurs

Forescout a dévoilé, ce mardi 21 juin, près de 60 vulnérabilités affectant les technologies opérationnelles (OT) de 10 fournisseurs différents. Elles ont été présentées sous la bannière OT:ICEFALL, et signalées initialement par l’équipe de renseignement sur les menaces de Forescout, Vedere Labs. Ces vulnérabilités varient en gravité, mais un certain nombre d’entre elles permettent le vol d’informations d’identification, l’exécution de code arbitraire à distance, voire la manipulation du microcode.

Les fournisseurs concernés sont Emerson, Honeywell, Motorola, Omron, Yokogawa, JTEKT, Bently Nevada, Phœnix Contact, Siemens et un dixième fournisseur, dont le nom n’a pas encore été révélé. Ces vulnérabilités affectent de nombreux produits populaires, tels que Emerson ControlWave (un contrôleur logique programmable) et Honeywell Safety Manager (un système utilisé pour traiter les données relatives à la sûreté dans des environnements industriels tels que les usines de pétrole et de gaz), entre autres.

Une liste complète des vulnérabilités – à l’exception des quatre touchant le fournisseur dont le nom n’a pas été divulgué – avec les détails techniques est disponible dans le rapport de Forescout. Ce dernier comprend une série de scénarios d’attaque montrant comment des acteurs malveillants pourraient perturber le transport du gaz naturel, la production d’énergie éolienne et la fabrication de composants.

Les vulnérabilités sont réparties en quatre catégories : protocoles non sécurisés, mises à jour non sécurisées des firmwares, exécution de code à distance via des fonctionnalités natives et cryptographie faible ou schémas d’authentification défaillants.

Le thème d’OT:ICEFALL est celui des vulnérabilités « insecure-by-design », une catégorie couramment observée dans le domaine des technologies opérationnelles. Ce type de vulnérabilités touche des fonctionnalités délibérées du fabricant et ne reçoit pas toujours de référence CVE.

Selon le rapport de Forescout, le problème n’est pas tant l’existence de ces failles que le fait qu’une grande partie de la technologie affectée ne dispose pas de contrôles de sécurité suffisants ni d’approche cohérente de gestion des vulnérabilités.

Ainsi, les auteurs du rapport expliquent que « l’objectif est d’illustrer comment la nature opaque et propriétaire de ces systèmes, la gestion sous-optimale des vulnérabilités qui les entourent et le sentiment de sécurité souvent erroné offert par les certifications compliquent considérablement les efforts de gestion des risques liés aux technologies opérationnelles ».

Les failles des technologies opérationnelles et des systèmes de contrôle industriel (ICS) peuvent être particulièrement problématiques, bien plus potentiellement que celles concernant les systèmes d’information. Les ICS/OT sont généralement observés dans les infrastructures critiques, la fabrication, les soins de santé et autres environnements industriels. Si des acteurs malveillants détournent des systèmes qui contrôlent l’électricité ou l’eau potable, par exemple, les conséquences peuvent s’avérer plus périlleuses que la plupart des attaques de ransomware informatiques.

En outre, les systèmes de contrôle industriels sont conçus pour durer des années, voire des décennies, et la mise hors ligne des systèmes pour atténuer les vulnérabilités ou appliquer des correctifs peut être extrêmement difficile et compliquée. Une simple réinitialisation peut entraîner des retards de production ou, pire, l’arrêt potentiel d’un service critique.

Daniel dos Santos, responsable de la recherche en sécurité chez Forescout, a déclaré à nos confrères de SearchSecurity (groupe TechTarget), dans un courriel, que les bogues ont été divulgués pour la première fois aux fournisseurs en mars.

Toutefois, si « certains ont été découverts récemment, d’autres étaient connus depuis longtemps, mais n’avaient pas été divulgués auparavant, car, historiquement, les problèmes d’insécurité par conception n’ont pas reçu de CVE ». Mais Daniel dos Santos indique avoir « remarqué une évolution récente de la communauté vers l’acceptation de ces problèmes comme CVE ». Dès lors, Forescout a « regroupé les 56 problèmes et lancé le processus de divulgation ».

Pour autant, « chaque fournisseur a été traité dans un cas distinct au lieu de les regrouper tous dans un seul cas (pour éviter les fuites d’informations) ». Certains fournisseurs ont « donné des réponses très tard dans le processus, ce qui a rendu difficile la coordination des avis, des produits/versions affectés, des mesures d’atténuation, etc. ». Mais les équipes de Forescout ont « obtenu des réponses de la part de presque tous les fournisseurs ». Un progrès, pour Daniel dos Santos.