Une nouvelle compromission généralisée de l’IoT pourrait affecter des millions de puces de contrôleur logique
MISE À JOUR À 12H05 HAE / 15 AOÛT 2023
par David Strom
Le chercheur en sécurité de Microsoft, Vladimir Tokarev, a démontré une attaque intéressante contre le logiciel d'automatisation de l'Internet industriel des objets appelé Codesys.
Tokarev, qui a montré l'exploit la semaine dernière lors de la conférence annuelle sur la sécurité BlackHat à Las Vegas, a utilisé un modèle d'ascenseur miniature pour démontrer comment l'attaque pourrait écraser sa cabine. Le logiciel – et plus important encore, son kit de développement logiciel – est largement utilisé dans des millions d’automates programmables ou de puces PLC qui gèrent tout, des feux de circulation et des usines de traitement des eaux à l’automatisation des opérations des bâtiments commerciaux et aux pipelines d’énergie.
En septembre dernier, Tokarev a découvert 16 vulnérabilités qu’il appelle collectivement CoDe16. Ceux-ci utilisent à la fois des techniques d'exécution de code à distance et des techniques de déni de service pour prendre le contrôle des automates et permettre aux attaquants d'insérer des logiciels malveillants.
"Codesys étant utilisé par de nombreux fournisseurs, une vulnérabilité peut affecter de nombreux secteurs, types d'appareils et secteurs verticaux, sans parler de plusieurs vulnérabilités", a-t-il déclaré dans un article de blog décrivant la recherche. Microsoft Corp. estime que le logiciel est utilisé dans 1 000 types d'appareils différents fabriqués par plus de 500 fabricants.
Ce n'est pas la première vulnérabilité de Codesys. En novembre dernier, les chercheurs de Forescout ont découvert un autre problème avec le logiciel qui affecte ses processus logiques.
Tokarev a publié son analyse et son code sur GitHub pour que d'autres puissent les examiner, ainsi qu'un outil que les entreprises peuvent utiliser pour identifier les composants à risque. Le framework Codesys utilise ses propres protocoles réseau et des numéros de port TCP/IP spéciaux qu'il a dû procéder à une rétro-ingénierie pour comprendre son fonctionnement et découvrir ces vulnérabilités.
De nombreuses attaques ont eu recours à des conditions de dépassement de tampon. Tokarev a assemblé une variété d'équipements dans son travail et a montré cette photo aux participants à la conférence :
Codesys est livré avec un logiciel de gestion basé sur Windows et un simulateur utilisé à des fins de test. « En raison de sa popularité et de sa large utilisation dans le monde entier, il s'agit d'un vecteur d'attaque très intéressant et critique qui doit être protégé et atténué », a-t-il déclaré lors de la conférence.
Les versions de Codesys antérieures à c.3.5.19.0 sont vulnérables aux vulnérabilités découvertes et les utilisateurs doivent mettre à niveau leur micrologiciel en utilisant ce lien. Microsoft propose d'autres recommandations, notamment la segmentation du réseau pour isoler les automates de l'accès direct en ligne, ainsi que des techniques de gestion du moindre privilège pour restreindre les utilisateurs ayant accès aux appareils et ayant la possibilité de publier des modifications sur les composants.
MERCI
Une nouvelle compromission généralisée de l’IoT pourrait affecter des millions de puces de contrôleur logique
MongoDB dévoile une technologie de cryptage des données destinée aux développeurs afin de renforcer la confidentialité et la conformité des données
De nouveaux rapports montrent que le phishing est en hausse et de plus en plus sophistiqué.
Nutanix propose une approche de démarrage rapide du développement de l'IA
Dialpad intègre l'IA générative dans sa suite de centre d'appels
La startup d'observabilité full-stack Highlight se lance avec un financement de 8 millions de dollars
Une nouvelle compromission généralisée de l’IoT pourrait affecter des millions de puces de contrôleur logique
SÉCURITÉ - PAR DAVID STROM . IL Y A 1 MIN
MongoDB dévoile une technologie de cryptage des données destinée aux développeurs afin de renforcer la confidentialité et la conformité des données
BIG DATA - PAR JOHN FURRIER . IL Y A 34 MIN
De nouveaux rapports montrent que le phishing est en hausse et de plus en plus sophistiqué.
SÉCURITÉ - PAR DAVID STROM . IL Y A 3 HEURES
Nutanix propose une approche de démarrage rapide du développement de l'IA
AI - PAR PAUL GILLIN . IL Y A 3 HEURES
Dialpad intègre l'IA générative dans sa suite de centre d'appels
AI - PAR PAUL GILLIN . IL Y A 3 HEURES
La startup d'observabilité full-stack Highlight se lance avec un financement de 8 millions de dollars
APPLICATIONS - PAR MIKE WHEATLEY. IL Y A 3 HEURES