Huit nouvelles vulnérabilités ont été récemment découvertes dans la plateforme Open Automation Software (OAS) qui, si elles avaient été exploitées, auraient pu déclencher un autre désastre en matière de sécurité de la chaîne d’approvisionnement.
Selon Talos, la branche cybersécurité de Cisco, les failles comprennent deux vulnérabilités de haute gravité – CVE-2022-26833 (score de gravité 9,4) et CVE-2022-26082 (score de gravité 9,1) – qui pourraient permettre aux acteurs de la menace de modifier la configuration de la plate-forme pour créer de nouveaux groupes de sécurité et exécuter du code arbitraire.
Diverses autres vulnérabilités découvertes dans la plate-forme auraient également pu être exploitées pour envoyer des requêtes réseau, dresser la liste des répertoires, voler des mots de passe et lancer des attaques par déni de service.
Vulnérabilités traitées
D’après The Register, Cisco a collaboré avec l’OAS pour remédier aux vulnérabilités et publier des correctifs.
S’adressant à la publication, le vice-président de l’architecture des solutions pour Cerberus Sentinel, Chris Clements, a décrit les failles comme étant “parmi les menaces de cybersécurité les plus effrayantes aujourd’hui”, principalement en raison du fait que de nombreuses grandes entreprises industrielles utilisent OAS.
Parmi ses utilisateurs figurent Volvo, General Dynamics ou AES, qui s’en servent pour faciliter le transfert de données au sein de leurs environnements informatiques. L’OAS est décrit comme essentiel aux efforts de l’Internet industriel des objets (IIoT) de ces organisations.
“Un attaquant ayant la capacité de perturber ou d’altérer le fonctionnement de ces dispositifs peut infliger des dommages catastrophiques aux installations d’infrastructures critiques, mais une attaque peut aussi être quelque chose qui n’est pas immédiatement évident”, a commenté Clements.
Il a comparé les failles à Stuxnet, un ver vieux de plus de dix ans qui a infligé de graves dommages au programme nucléaire iranien. Le ver a été utilisé pour briser certains composants des installations nucléaires qui, malgré leur dysfonctionnement, ont été signalés comme fonctionnant normalement.
De plus, les systèmes touchés sont tellement essentiels pour ces organisations que beaucoup d’entre elles reportent de plusieurs années leur mise hors ligne pour l’application de correctifs.
“Dans certains cas, les trous d’air peuvent être une arme à double tranchant”, a déclaré Clements. “Des dispositifs USB malveillants ont été utilisés à plusieurs reprises pour propager des logiciels malveillants sur des réseaux à air comprimé, et à moins que des considérations particulières n’aient été prises pour effectuer des correctifs de sécurité sur le réseau isolé, le code malveillant se retrouve souvent dans un environnement mûr pour l’exploitation.”