Posté le mai 31, 2021 à 18:05

UN NOUVEAU LOGICIEL MALVEILLANT DÉTECTÉ CHEZ SIEMENS PERMET AUX HACKERS D’EXÉCUTER DU CODE MALVEILLANT À DISTANCE

Siemens a publié une mise à jour de sécurité indiquant qu’une importante vulnérabilité avait été détectée dans ses systèmes. La vulnérabilité était présente dans les automates programmables (PLC) SIMATIC S7-1200 et S7-1500.

Un acteur de la menace pourrait facilement exploiter un piratage à travers cette vulnérabilité pour obtenir un accès à distance à des zones restreintes tout en évitant toute détection. L’exécution du code se ferait également sans que personne ne le détecte. Selon les chercheurs en cybersécurité, ce type d’attaque sophistiquée est considéré par les acteurs de la menace comme un « Saint Graal ».

Un bug sophistiqué

Cette vulnérabilité, répertoriée sous le nom de CVE-2020-15782 (score CVSS : 8.1), a été dévoilée par Claroty, une société de cybersécurité. En raison du haut niveau de sophistication du logiciel malveillant, les experts de la société ont exploité le bytecode du MC7 / MC7 + par rétro-ingénierie pour exécuter un logiciel d’automate dans le microprocesseur. Cependant, il n’est pas clair si la vulnérabilité a été exploitée de manière malveillante.

Cependant, ce logiciel malveillant représentait une menace potentielle pour la communauté Internet car il pouvait être utilisé pour développer de futures attaques. Dans sa déclaration, Siemens a indiqué qu’un acteur de la menace pourrait malicieusement voler les informations des utilisateurs et accéder à des données sensibles en accédant au réseau du port TCP 102, ce qui pourrait compromettre les zones protégées du réseau. Cela pourrait se faire par l’écriture de données arbitraires et de code malveillant.

Selon Tal Keren, chercheur chez Claroty, a déclaré que « Parvenir à exécuter du code natif sur un système de contrôle industriel tel qu’un automate programmable est un objectif final que relativement peu d’attaquants avancés ont atteint. » « Ces systèmes complexes disposent de nombreuses protections en mémoire qu’il faudrait surmonter pour qu’un attaquant puisse non seulement exécuter le code de son choix, mais aussi rester indétectable. »

La vulnérabilité permet d’éviter toute détection

Lorsque les acteurs de la menace utilisent ce bug, ils accèdent aux systèmes de l’utilisateur et récupèrent des données personnelles tout en évitant la détection. Cela signifie que les utilisateurs poursuivent leurs activités normales sans aucun signal d’alarme qui pourrait les inciter à installer des mises à jour ou des logiciels de sécurité Internet.

Pour éviter d’être détecté, le hacker écrit des données arbitraires et le code directement dans les régions du système de l’utilisateur qui sont protégées. La société de sécurité a également déclaré que les attaquants qui utilisent cette méthode doivent avoir accès au réseau de l’automate pour pouvoir télécharger. Toutefois, pour contourner ce problème, les hackers utilisent le sandbox natif de l’API, où ils lancent un logiciel au niveau du noyau du système afin d’obtenir un accès à distance pour l’exécution du code.

Ce ne sera pas la première fois qu’une attaque sophistiquée similaire est signalée sur le PLC de Siemens. En 2020, un autre logiciel malveillant similaire permettant l’exécution de code non autorisé a également été détecté. Le logiciel malveillant, surnommé le ver Stuxnet, exploitait plusieurs vulnérabilités du système Windows en modifiant le code sur l’automate Siemens. Cela a été fait pour espionner les utilisateurs et pour couvrir les traces des attaquants.

Toujours en 2019, une autre attaque a également été découverte, qui utilisait les vulnérabilités du mécanisme de communication S7 pour créer une attaque en envoyant des messages qui seront favorables à l’acteur de la menace.

Depuis la découverte de l’attaque, Siemens a exhorté les utilisateurs à installer la dernière mise à jour, car elle leur évitera d’être victimes de l’attaque. L’entreprise a également assuré à ses clients qu’elle travaillait 24 heures sur 24 pour développer davantage de mises à jour et de contre-mesures afin de contrer de telles attaques.

Cependant, Siemens n’est pas la seule entreprise à souffrir d’une série d’attaques sophistiquées de la part des utilisateurs. D’autres grandes entreprises ont également mis en garde leurs clients contre des logiciels malveillants qui échappent à la détection et volent des données sensibles en espionnant l’activité des utilisateurs. De telles attaques ont été récemment découvertes par Microsoft et sur le réseau Pulse Secure Network. Dans tous les cas, la mise à jour vers les dernières versions du logiciel est le meilleur moyen de contrer les attaques.