S'inscrire

Cybersécurité - 01/10/2024

Des failles critiques dans les systèmes de jaugeage des réservoirs exposent les stations-service à des attaques à distance

Hacker utilisant un outil de cybersécurité

Des vulnérabilités de sécurité critiques ont été révélées dans six systèmes de jauge de réservoir automatique (ATG) différents de cinq fabricants, ce qui pourrait les exposer à des attaques à distance.

« Ces vulnérabilités présentent des risques réels importants, car elles pourraient être exploitées par des acteurs malveillants pour causer des dommages généralisés, notamment des dommages physiques, des risques environnementaux et des pertes économiques », a déclaré Pedro Umbelino, chercheur chez Bitsight , dans un rapport publié la semaine dernière.

Pour aggraver les choses, l’analyse a révélé que des milliers d’ATG sont exposés à Internet, ce qui en fait une cible lucrative pour les acteurs malveillants cherchant à lancer des attaques perturbatrices et destructrices contre les stations-service, les hôpitaux, les aéroports, les bases militaires et d’autres infrastructures critiques.

Les ATG sont des systèmes de capteurs conçus pour surveiller le niveau d’un réservoir de stockage (par exemple, un réservoir de carburant) sur une période donnée dans le but de déterminer les fuites et les paramètres. L’exploitation de failles de sécurité dans de tels systèmes pourrait donc avoir de graves conséquences, notamment un déni de service (DoS) et des dommages physiques.

Les 11 vulnérabilités récemment découvertes affectent six modèles ATG, à savoir Maglink LX, Maglink LX4, OPW SiteSentinel, Proteus OEL8000, Alisonic Sibylla et Franklin TS-550. Huit des 11 failles sont jugées critiques en termes de gravité.

  • CVE-2024-45066 (score CVSS : 10,0) – Injection de commandes du système d’exploitation dans Maglink LX
  • CVE-2024-43693 (score CVSS : 10,0) – Injection de commandes du système d’exploitation dans Maglink LX
  • CVE-2024-43423 (score CVSS : 9,8) – Informations d’identification codées en dur dans Maglink LX4
  • CVE-2024-8310 (score CVSS : 9,8) – Contournement de l’authentification dans OPW SiteSentinel
  • CVE-2024-6981 (score CVSS : 9,8) – Contournement de l’authentification dans Proteus OEL8000
  • CVE-2024-43692 (score CVSS : 9,8) – Contournement de l’authentification dans Maglink LX
  • CVE-2024-8630 (score CVSS : 9,4) – Injection SQL dans Alisonic Sibylla
  • CVE-2023-41256 (score CVSS : 9,1) – Contournement de l’authentification dans Maglink LX (doublon d’une faille précédemment divulguée)
  • CVE-2024-41725 (score CVSS : 8,8) – Script intersite (XSS) dans Maglink LX
  • CVE-2024-45373 (score CVSS : 8,8) – Élévation des privilèges dans Maglink LX4
  • CVE-2024-8497 (score CVSS : 7,5) – Lecture de fichier arbitraire dans Franklin TS-550

« Toutes ces vulnérabilités permettent d’accéder à tous les privilèges d’administrateur de l’application de l’appareil et, pour certaines d’entre elles, à l’ensemble du système d’exploitation », a déclaré M. Umbelino. « L’attaque la plus dommageable consiste à faire fonctionner les appareils d’une manière qui pourrait causer des dommages physiques à leurs composants ou aux composants qui y sont connectés. »

Failles découvertes dans OpenPLC, Riello NetMan 204 et AJCloud#

Des failles de sécurité ont également été découvertes dans la solution open source OpenPLC, notamment un bug critique de dépassement de mémoire tampon basé sur la pile (CVE-2024-34026, score CVSS : 9,0) qui pourrait être exploité pour réaliser l’exécution de code à distance.

« En envoyant une requête ENIP avec un code de commande non pris en charge, un en-tête d’encapsulation valide et au moins 500 octets au total, il est possible d’écrire au-delà de la limite du tampon log_msg alloué et de corrompre la pile », a déclaré Cisco Talos . « En fonction des précautions de sécurité activées sur l’hôte en question, une exploitation supplémentaire pourrait être possible. »

Une autre série de failles de sécurité concerne la carte de communication réseau Riello NetMan 204 utilisée dans ses systèmes d’alimentation sans interruption (UPS) qui pourrait permettre à des acteurs malveillants de prendre le contrôle de l’UPS et même de falsifier les données de journal collectées.

  • CVE-2024-8877 – Injection SQL dans trois points de terminaison d’API /cgi-bin/db_datalog_w.cgi, /cgi-bin/db_eventlog_w.cgi et /cgi-bin/db_multimetr_w.cgi qui permet une modification arbitraire des données
  • CVE-2024-8878 – Réinitialisation de mot de passe non authentifiée via le point de terminaison /recoverpassword.html qui pourrait être utilisé de manière abusive pour obtenir le netmanid de l’appareil, à partir duquel le code de récupération pour la réinitialisation du mot de passe peut être calculé

« La saisie du code de récupération dans ‘/recoverpassword.html’ réinitialise les informations de connexion à admin:admin », a déclaré Thomas Weber de CyberDanube , notant que cela pourrait donner à l’attaquant la possibilité de détourner l’appareil et de l’éteindre.

Les deux vulnérabilités restent non corrigées, ce qui oblige les utilisateurs à limiter l’accès aux appareils dans les environnements critiques jusqu’à ce qu’un correctif soit disponible.

Il convient également de noter plusieurs vulnérabilités critiques dans la plate-forme de gestion des caméras IP AJCloud qui, si elles étaient exploitées avec succès, pourraient conduire à l’exposition de données utilisateur sensibles et fournir aux attaquants un contrôle à distance complet de toute caméra connectée au service cloud de maison intelligente.

« Une commande P2P intégrée, qui fournit intentionnellement un accès en écriture arbitraire à un fichier de configuration clé, peut être exploitée pour désactiver définitivement les caméras ou faciliter l’exécution de code à distance en déclenchant un dépassement de mémoire tampon », a déclaré Elastic Security Labs , précisant que ses efforts pour joindre la société chinoise ont été infructueux à ce jour.

La CISA met en garde contre les attaques continues contre les réseaux OT#

Cette évolution intervient alors que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a signalé une augmentation des menaces pesant sur les dispositifs de technologie opérationnelle (OT) et de systèmes de contrôle industriel (ICS) accessibles sur Internet, y compris ceux du secteur des systèmes d’eau et d’eaux usées (WWS).

« Les systèmes OT/ICS exposés et vulnérables peuvent permettre aux acteurs de la cybermenace d’utiliser des informations d’identification par défaut, de mener des attaques par force brute ou d’utiliser d’autres méthodes peu sophistiquées pour accéder à ces appareils et causer des dommages », a déclaré la CISA .

Début février, le gouvernement américain a sanctionné six responsables associés à l’agence de renseignement iranienne pour avoir attaqué des entités d’infrastructures critiques aux États-Unis et dans d’autres pays.

Ces attaques visaient à cibler et à compromettre les contrôleurs logiques programmables (PLC) Unitronics Vision Series de fabrication israélienne, qui sont exposés publiquement sur Internet grâce à l’utilisation de mots de passe par défaut.

La société de cybersécurité industrielle Claroty a depuis ouvert le code source de deux outils appelés PCOM2TCP et PCOMClient qui permettent aux utilisateurs d’extraire des informations médico-légales à partir d’IHM/PLC intégrés à Unitronics.

« PCOM2TCP permet aux utilisateurs de convertir des messages PCOM série en messages PCOM TCP et vice versa », a-t-il déclaré . « Le deuxième outil, appelé PCOMClient, permet aux utilisateurs de se connecter à leur PLC Unitronics Vision/Samba, de l’interroger et d’extraire des informations médico-légales du PLC. »

En outre, Claroty a averti que le déploiement excessif de solutions d’accès à distance dans les environnements OT – entre quatre et 16 – crée de nouveaux risques de sécurité et opérationnels pour les organisations.

« 55 % des organisations ont déployé quatre outils d’accès à distance ou plus qui connectent l’OT au monde extérieur, un pourcentage inquiétant d’entreprises qui ont des surfaces d’attaque étendues, complexes et coûteuses à gérer », a-t-il noté .

« Les ingénieurs et les gestionnaires d’actifs doivent s’efforcer activement d’éliminer ou de minimiser l’utilisation d’outils d’accès à distance à faible sécurité dans l’environnement OT, en particulier ceux qui présentent des vulnérabilités connues ou ceux qui manquent de fonctionnalités de sécurité essentielles telles que l’authentification multifacteur. »

Sujets récents