Alertes CISA sur les vulnérabilités de sécurité critiques dans les systèmes de contrôle industriels

22 mars 2023Ravie LakshmananSécurité SCI/SCADA

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié huit systèmes de contrôle industriel (ICS) avis mardi, avertissement de failles critiques affectant les équipements de Delta Electronics et Rockwell Automation.

Cela inclut 13 vulnérabilités de sécurité dans InfraSuite Device Master de Delta Electronics, un logiciel de surveillance des appareils en temps réel. Toutes les versions antérieures à 1.0.5 sont concernées par les problèmes.

« L’exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant non authentifié d’accéder aux fichiers et aux informations d’identification, d’élever les privilèges et d’exécuter à distance du code arbitraire », CISA a dit.

Le haut de la liste est CVE-2023-1133 (score CVSS : 9,8), un défaut critique qui découle du fait qu’InfraSuite Device Master accepte les paquets UDP non vérifiés et désérialise le contenupermettant ainsi à un attaquant distant non authentifié d’exécuter du code arbitraire.

Deux autres défauts de désérialisation, CVE-2023-1139 (score CVSS : 8,8) et CVE-2023-1145 (score CVSS : 7,8) pourrait également être militarisé pour obtenir l’exécution de code à distance, a averti la CISA.

Piotr Bazydlo et un chercheur en sécurité anonyme ont été crédités d’avoir découvert et signalé les lacunes à CISA.

Un autre ensemble de vulnérabilités concerne le ThinManager ThinServer de Rockwell Automation et affecte les versions suivantes du logiciel de gestion de serveur de client léger et de protocole de bureau à distance (RDP) –

• 6.x – 10.x
• 11.0.0 – 11.0.5
• 11.1.0 – 11.1.5
• 11.2.0 – 11.2.6
• 12.0.0 – 12.0.4
• 12.1.0 à 12.1.5, et
• 13.0.0 – 13.0.1

Le plus grave des problèmes est le défaut de traversée de deux chemins suivi comme CVE-2023-28755 (score CVSS : 9,8) et CVE-2023-28756 (score CVSS : 7,5) qui pourrait permettre à un attaquant distant non authentifié de télécharger des fichiers arbitraires dans le répertoire où ThinServer.exe est installé.

Plus troublant encore, l’adversaire pourrait armer CVE-2023-28755 pour écraser les fichiers exécutables existants avec des versions cheval de Troie, conduisant potentiellement à l’exécution de code à distance.

« L’exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant d’exécuter potentiellement du code à distance sur le système/dispositif cible ou de planter le logiciel », CISA indiqué.

Les utilisateurs sont invités à mettre à jour vers les versions 11.0.6, 11.1.6, 11.2.7, 12.0.5, 12.1.6 et 13.0.2 pour atténuer les menaces potentielles. Les versions 6.x à 10.x de ThinManager ThinServer sont retirées, ce qui oblige les utilisateurs à effectuer une mise à niveau vers une version prise en charge.

Comme solutions de contournement, il est également recommandé de limiter l’accès à distance au port 2031/TCP aux clients légers et aux serveurs ThinManager connus.

La divulgation arrive plus de six mois après CISA alerté d’une vulnérabilité de débordement de tampon très grave dans Rockwell Automation ThinManager ThinServer (CVE-2022-38742score CVSS : 8,1) pouvant entraîner l’exécution arbitraire de code à distance.