Huit nouvelles vulnérabilités ont été récemment découvertes dans la plate-forme Open Automation Software (OAS) qui, si elles étaient exploitées, auraient pu déclencher une autre catastrophe de sécurité de la chaîne d’approvisionnement.
Selon Talos, la branche cybersécurité de Cisco, les failles comprennent deux vulnérabilités très graves – CVE-2022-26833 (score de gravité 9,4) et CVE-2022-26082 (score de gravité 9,1) – qui pourraient permettre aux pirates de modifier la configuration du plate-forme pour créer de nouveaux groupes de sécurité et exécuter du code arbitraire.
Diverses autres vulnérabilités découvertes dans la plate-forme pourraient également avoir été exploitées pour envoyer des requêtes réseau, réduire la liste des répertoires, voler des mots de passe et lancer des attaques par déni de service.
Vulnérabilités traitées
Selon Le registreCisco a travaillé avec OAS pour résoudre les vulnérabilités et publier des correctifs.
S’adressant à la publication, le vice-président de l’architecture des solutions pour Cerberus Sentinel, Chris Clements, a décrit les failles comme « parmi les menaces de cybersécurité les plus effrayantes aujourd’hui », principalement en raison du fait que de nombreuses grandes entreprises industrielles utilisent OAS.
Parmi ses utilisateurs figurent Volvo, General Dynamics ou AES, qui l’utilisent pour faciliter le transfert de données au sein de leurs environnements informatiques. OAS est décrit comme essentiel aux efforts de l’Internet industriel des objets (IIoT) de ces organisations.
« Un attaquant ayant la capacité de perturber ou de modifier le fonctionnement de ces appareils peut infliger des dommages catastrophiques aux infrastructures critiques, mais une attaque peut également être quelque chose qui peut ne pas être immédiatement évident », a commenté Clements.
Il a comparé les failles avec Stuxnet, un ver vieux de plus d’une décennie qui a infligé de graves dommages au programme nucléaire iranien. Le ver a été utilisé pour casser certains composants dans des installations nucléaires qui, malgré des dysfonctionnements, ont rapporté fonctionner normalement.
De plus, les systèmes concernés sont si cruciaux pour ces organisations que beaucoup retardent leur mise hors ligne pour des correctifs pendant des années.
« Dans certains cas, les entrefers peuvent être une arme à double tranchant », a déclaré Clements. « Des périphériques USB malveillants ont été exploités à plusieurs reprises pour propager des logiciels malveillants sur des réseaux isolés, et à moins que des considérations particulières n’aient été prises pour effectuer des correctifs de sécurité sur le réseau isolé, le code malveillant se retrouve souvent dans un environnement prêt à être exploité. »
Via le registre (s’ouvre dans un nouvel onglet)