Microsoft a révélé vendredi 15 vulnérabilités de haute gravité dans une collection d’outils largement utilisés pour programmer des dispositifs opérationnels à l’intérieur d’installations industrielles telles que des usines de production d’électricité, l’automatisation d’usines, l’automatisation de l’énergie et l’automatisation des processus. La société a averti que même s’il était difficile d’exploiter les vulnérabilités d’exécution de code et de déni de service, cela permettait aux acteurs de la menace « d’infliger de gros dégâts aux cibles ».
Les vulnérabilités affectent le kit de développement logiciel CODESYS V3. Les développeurs au sein d’entreprises telles que Schneider Electric et WAGO utilisent les outils indépendants de la plate-forme pour développer des contrôleurs logiques programmables, des dispositifs de la taille d’un grille-pain qui ouvrent et ferment des vannes, font tourner des rotors et contrôlent divers autres dispositifs physiques dans des installations industrielles du monde entier. Plus précisément, le SDK permet aux développeurs de rendre les automates compatibles avec la norme CEI 611131-3, une norme internationale qui définit les langages de programmation qui peuvent être utilisés en toute sécurité dans les environnements industriels. Parmi les exemples d’appareils qui utilisent CODESYS V3, citons le Modicon TM251 de Schneider Electric et le WAGO PFC200.
« Une attaque DOS contre un appareil utilisant une version vulnérable de CODESYS pourrait permettre aux acteurs de la menace d’arrêter une centrale électrique, tandis que l’exécution de code à distance pourrait créer une porte dérobée pour les appareils et laisser les attaquants altérer les opérations, faire fonctionner un automate de manière inhabituelle. , ou voler des informations critiques », ont écrit les chercheurs de Microsoft. L’avis de vendredi a poursuivi en disant:
CODESYS étant utilisé par de nombreux fournisseurs, une vulnérabilité peut affecter de nombreux secteurs, types d’appareils et secteurs verticaux, sans parler de plusieurs vulnérabilités. Toutes les vulnérabilités peuvent conduire à DoS et 1 RCE. Bien que l’exploitation des vulnérabilités découvertes nécessite une connaissance approfondie du protocole propriétaire de CODESYS V3 ainsi que l’authentification de l’utilisateur (et des autorisations supplémentaires sont nécessaires pour qu’un compte ait le contrôle de l’automate), une attaque réussie a le potentiel d’infliger de gros dégâts aux cibles. Les acteurs de la menace pourraient lancer une attaque DoS contre un appareil utilisant une version vulnérable de CODESYS pour arrêter les opérations industrielles ou exploiter les vulnérabilités RCE pour déployer une porte dérobée pour voler des données sensibles, altérer des opérations ou forcer un automate à fonctionner de manière dangereuse.
Microsoft a informé Codesys en privé des vulnérabilités en septembre, et la société a depuis publié des correctifs qui corrigent les vulnérabilités. Il est probable qu’à ce jour, de nombreux fournisseurs utilisant le SDK ont installé des mises à jour. Ceux qui ne l’ont pas fait devraient en faire une priorité.
Microsoft a déclaré que l’exploitation des vulnérabilités nécessitait une connaissance approfondie du protocole propriétaire de Codesys. Cela nécessite également que les attaquants franchissent un obstacle de taille sous la forme d’une authentification auprès d’un appareil vulnérable. Une façon d’obtenir l’authentification consiste à exploiter une vulnérabilité déjà corrigée identifiée comme CVE-2019-9013 dans le cas où un automate n’a pas encore été corrigé.
Bien que les vulnérabilités soient difficiles à exploiter, les acteurs de la menace ont réussi à réaliser de telles attaques dans le passé. Des logiciels malveillants suivis comme Triton et Trisis ont été utilisés dans au moins deux installations critiques. Le logiciel malveillant, attribué au Kremlin, est conçu pour désactiver les systèmes de sécurité qui détectent et corrigent les conditions dangereuses.
De telles attaques sont cependant rares. Combinées à la probabilité que les 15 vulnérabilités soient corrigées dans la plupart des environnements de production auparavant vulnérables, les conséquences désastreuses dont Microsoft met en garde semblent peu probables.
Dans un e-mail reçu après la mise en ligne de ce message sur Ars, Jimmy Wylie et Sam Hanson, tous deux chercheurs de la société de sécurité industrielle Dragos, ont fourni cette évaluation des vulnérabilités :
Compte tenu de la part de marché de CODESYS et de sa clientèle intersectorielle, les vulnérabilités telles que celles découvertes par Microsoft devraient être prises au sérieux par les clients et les fournisseurs. Cela dit, CODESYS n’est pas autant utilisé dans la production d’énergie que dans la fabrication discrète et d’autres types de contrôle de processus. Cela devrait donc en soi apaiser certaines inquiétudes quant à la possibilité de « fermer une centrale électrique ».
En examinant spécifiquement ces vulnérabilités et l’avis publié par CODESYS, elles nécessitent toutes une authentification pour une exploitation réussie. Mais si un adversaire est authentifié (a le nom d’utilisateur et le mot de passe) auprès de votre PLC, vous avez de plus gros problèmes que ces CVE, et ils peuvent faire toutes sortes de choses qui rendent les CVE inutiles.
Quoi qu’il en soit, le simple fait d’avoir un exploit RCE ou DOS n’est pas la même chose que d’avoir la capacité d’arrêter une centrale électrique ou, par exemple, d’apporter des modifications spécifiques à un processus de fabrication. Par exemple, l’attaque TRISIS en 2017 comprenait un exploit 0-day pour ce contrôleur de sécurité, et bien que nous sachions que les attaquants étaient là depuis un certain temps, ils n’ont jamais été en mesure de faire quoi que ce soit de vraiment désastreux, au-delà de certaines conséquences financières. La raison en est que les systèmes industriels sont extrêmement complexes, et pouvoir accéder à une partie ne signifie pas nécessairement que tout va s’effondrer. Ces choses ne sont pas des tours jenga branlantes, où une brique signifie un effondrement imminent. Ils ressemblent plus à des gratte-ciel conçus pour résister à une variété de facteurs comme le vent et les tremblements de terre.
Les vulnérabilités sont suivies comme suit :
Codesys a publié vendredi son propre avis, et Microsoft a mis à disposition ici un code qui aide les organisations à identifier les appareils vulnérables qui pourraient encore être utilisés.