Posté le août 7, 2021 à 21:08
DES CHERCHEURS EN SÉCURITÉ DÉCOUVRENT CINQ FAILLES DANS LES AUTOMATES DE SÉCURITÉ DE MITSUBISHI
Nozomi Network Labs a déclaré avoir découvert cinq failles dans le système de sécurité des automates de Mitsubishi. Selon les chercheurs, la vulnérabilité concerne le protocole de communication de MELSOFT.
Selon le rapport, les premières séries de bugs ont été divulguées en janvier 2021 via ICS-CERT. Cependant, l’ensemble suivant n’a été révélé par le même processus que récemment. Cependant, Mitsubishi a émis des avis pour les utilisateurs qui veulent garder leurs systèmes en sécurité. Le fournisseur a conseillé aux utilisateurs d’appliquer les mesures d’atténuation proposées dès que possible.
Les correctifs ne sont pas encore disponibles pour les failles
Le point le plus inquiétant est le fait que des correctifs n’ont été mis à disposition pour aucune des vulnérabilités. Les chercheurs ont également déclaré que les correctifs pour les vulnérabilités prennent généralement trop de temps et que les utilisateurs ne devraient pas attendre les mises à jour avant de protéger leurs systèmes contre d’éventuelles attaques. En outre, les fournisseurs doivent passer par certains processus de certification avant de pouvoir diffuser des correctifs pour les bugs.
Et chaque mise à jour logicielle peut nécessiter une méthode de certification différente, en fonction du type de cadre réglementaire et du dispositif utilisé.
Les chercheurs ont également noté que dans leur service de renseignement sur les menaces, ils ont utilisé une logique de détection pour les utilisateurs en attendant le processus de déploiement et le développement des correctifs.
Ils ont également commencé à explorer des méthodes de détection plus largement connues afin de les partager avec la communauté de la sécurité des ICS et les propriétaires de biens.
Les vulnérabilités peuvent infecter plus d’un fournisseur
Les chercheurs en sécurité ont également noté que les bugs qu’ils ont découverts peuvent être plus puissants car ils peuvent infecter plus d’un fournisseur.
Bien que Mitsubishi ait fourni certaines procédures d’atténuation des vulnérabilités, le chercheur a également demandé aux clients d’être plus vigilants et de déployer des protocoles de sécurité supplémentaires pour protéger leurs systèmes.
Toutefois, le rapport ne mentionne pas tous les détails de la vulnérabilité. Cette action a été délibérée pour la protection des systèmes qui sont encore en sécurité et non exploités. Les chercheurs pensent que la divulgation complète des détails de la vulnérabilité pourrait donner aux acteurs malveillants les informations dont ils ont besoin pour exploiter les systèmes des clients.
L’équipe de recherche a essayé plusieurs méthodes qui lui ont permis d’avoir accès aux systèmes. Ils ont découvert qu’il y avait des situations où les hackers effectuaient une authentification réussie et réutilisaient les jetons de session générés.
Ils ont ajouté qu’un acteur malveillant ayant la capacité de lire une commande privilégiée peut réutiliser le jeton en utilisant une IP différente. Selon leurs conclusions, cette instance est possible même si les attaquants ont quelques heures pour opérer.
Une protection forte du réseau PLC est nécessaire
Plusieurs scénarios d’attaque sont possibles si certaines des vulnérabilités identifiées sont combinées. Par conséquent, il est important de comprendre certains de ces scénarios, car la majorité des attaques sont menées en exploitant plusieurs bugs pour atteindre l’objectif final.
Une fois qu’un attaquant a réussi à accéder à un système, sa prochaine action consiste généralement à empêcher les autres utilisateurs d’y accéder. L’idée est d’empêcher l’utilisateur d’utiliser la prochaine option disponible pour éteindre le système afin d’éviter toute autre exposition du système.
À titre de suggestion, Nozomi Network Labs a déclaré que les propriétaires de biens doivent sécuriser le lien entre l’automate et le poste de travail d’ingénierie. Une fois cette sécurité garantie, il sera difficile pour un hacker d’avoir accès aux paquets authentifiés ou à l’authentification MELSOFT en clair. Cela contribuera grandement à sécuriser les systèmes et à les protéger contre l’exploitation, selon les chercheurs.
Les chercheurs ont également conseillé aux clients de fournir une protection solide à l’automate afin d’empêcher un acteur malveillant d’avoir accès à l’échange actif des paquets d’authentification avec l’automate.
Nozomi Networks a également indiqué à ses clients que son unité de renseignement sur les menaces les tiendra au courant de toute nouvelle information concernant les vulnérabilités. Ils ont déclaré qu’ils devaient informer les clients et les utilisateurs de toute nouvelle attaque. Même pour les non-clients, l’information fournira également des renseignements sur les activités générales des acteurs malveillants. Elles les aideront à ajuster leurs positions de sécurité et à assurer une protection plus solide de leurs systèmes, a réaffirmé Nozomi Networks.