De nouvelles vulnérabilités menacent de provoquer un nouveau désastre en matière de sécurité, à l’instar de Solar Winds

Aperçu Nom Prix
1
Banggood Imperméable à l'eau 36 LED Outdoor Solar Powered PIR Capteur de mouvement Sécurité Lampe Montage de lumière Pole Fit Hom
19,33 €
2
Editions L'Harmattan Une nouvelle société solidaire: Par un nouveau contrat social
19,99 €
3
Editions L'Harmattan Nouvelle géopolitique de l'agriculture et de l'alimentation: Quelles politiques publiques de sécurité alimentaire au Cameroun?
20,99 €

Huit nouvelles vulnérabilités ont été récemment découvertes dans la plateforme Open Automation Software (OAS) qui, si elles avaient été exploitées, auraient pu déclencher un autre désastre en matière de sécurité de la chaîne d’approvisionnement.

Selon Talos, la branche cybersécurité de Cisco, les failles comprennent deux vulnérabilités de haute gravité – CVE-2022-26833 (score de gravité 9,4) et CVE-2022-26082 (score de gravité 9,1) – qui pourraient permettre aux acteurs de la menace de modifier la configuration de la plate-forme pour créer de nouveaux groupes de sécurité et exécuter du code arbitraire.

Diverses autres vulnérabilités découvertes dans la plate-forme auraient également pu être exploitées pour envoyer des requêtes réseau, dresser la liste des répertoires, voler des mots de passe et lancer des attaques par déni de service.

Vulnérabilités traitées

D’après The Register, Cisco a collaboré avec l’OAS pour remédier aux vulnérabilités et publier des correctifs.

S’adressant à la publication, le vice-président de l’architecture des solutions pour Cerberus Sentinel, Chris Clements, a décrit les failles comme étant “parmi les menaces de cybersécurité les plus effrayantes aujourd’hui”, principalement en raison du fait que de nombreuses grandes entreprises industrielles utilisent OAS.

Parmi ses utilisateurs figurent Volvo, General Dynamics ou AES, qui s’en servent pour faciliter le transfert de données au sein de leurs environnements informatiques. L’OAS est décrit comme essentiel aux efforts de l’Internet industriel des objets (IIoT) de ces organisations.

“Un attaquant ayant la capacité de perturber ou d’altérer le fonctionnement de ces dispositifs peut infliger des dommages catastrophiques aux installations d’infrastructures critiques, mais une attaque peut aussi être quelque chose qui n’est pas immédiatement évident”, a commenté Clements.

Il a comparé les failles à Stuxnet, un ver vieux de plus de dix ans qui a infligé de graves dommages au programme nucléaire iranien. Le ver a été utilisé pour briser certains composants des installations nucléaires qui, malgré leur dysfonctionnement, ont été signalés comme fonctionnant normalement.

De plus, les systèmes touchés sont tellement essentiels pour ces organisations que beaucoup d’entre elles reportent de plusieurs années leur mise hors ligne pour l’application de correctifs.

“Dans certains cas, les trous d’air peuvent être une arme à double tranchant”, a déclaré Clements. “Des dispositifs USB malveillants ont été utilisés à plusieurs reprises pour propager des logiciels malveillants sur des réseaux à air comprimé, et à moins que des considérations particulières n’aient été prises pour effectuer des correctifs de sécurité sur le réseau isolé, le code malveillant se retrouve souvent dans un environnement mûr pour l’exploitation.”

À propos de l'auteur : Neero

Passionné de technologie et de jeux-vidéo, j'adore découvrir les dernières tendances High-Tech et jouer à différents styles de jeux. Mon coup de cœur est assurément Death Stranding ! Geek dans l'âme, la franchise Star Wars et l'univers viking sont également de grandes sources d'inspiration pour moi.

Aperçu Nom Prix
1
Editions de l'Aube Vulnérabilités résidentielles
16,99 €
2
VIVENLA Table basse extensible et évolutive en table de salle à manger design en verre trempé securit coloris blanc L. 138/175 x P. 80 x H. 50/78 cm collection Mignonette - Blanc
1 349,00 € 599,00 €
-56%
3
Panneaux duos - Matières dangereuses - Lunettes de sécurité obligatoires
18,24 € 16,42 €
-10%
À lire également  Les Blackwings vont s'envoler à nouveau en octobre dans YU-GI-OH ! avec le jeu de base DARKWING BLAST