Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonMicrosoft révèle des failles de Codesys permettant l'arrêt des opérations industrielles et l'espionnage
Plus d'une douzaine de vulnérabilités Codesys découvertes par les chercheurs de Microsoft peuvent être exploitées pour arrêter des processus industriels ou déployer des portes dérobées.
Par
Tableau à feuilles mobiles
Plus d'une douzaine de vulnérabilités découvertes par les chercheurs de Microsoft dans les produits Codesys peuvent être exploitées pour perturber les processus industriels ou déployer des portes dérobées permettant le vol d'informations sensibles.
Codesys, basé en Allemagne, fabrique des logiciels d'automatisation pour les systèmes de contrôle d'ingénierie. Ses produits sont utilisés par certains des plus grands fabricants de systèmes de contrôle industriel (ICS) au monde, le fournisseur affirmant que son logiciel se trouve dans des millions d'appareils, soit environ 1 000 types de produits différents fabriqués par plus de 500 fabricants.
Les chercheurs de Microsoft spécialisés dans la sécurité des systèmes cyberphysiques ont découvert un total de 16 vulnérabilités dans les versions Codesys Control V3 antérieures à 3.5.19.0. Les failles de sécurité ont été signalées à Codesys en septembre 2022 et les correctifs ont été annoncés en avril 2023.
Toutes les vulnérabilités ont reçu une note de « gravité élevée ». Ils peuvent être exploités pour des attaques par déni de service (DoS) ou pour l'exécution de code à distance (RCE).
Les acteurs malveillants pourraient les exploiter pour cibler les contrôleurs logiques programmables (PLC) et autres appareils ICS à l'aide du logiciel Codesys. Les recherches de Microsoft se sont concentrées sur les automates fabriqués par Schneider Electric et Wago.
Bien que l'exploitation des vulnérabilités nécessite une authentification, les chercheurs ont montré comment les pirates pouvaient exploiter les anciennes failles de Codesys, telles que CVE-2019-9013, pour y parvenir.
« Bien que l'exploitation des vulnérabilités découvertes nécessite une connaissance approfondie du protocole propriétaire de Codesys V3 ainsi que de l'authentification des utilisateurs (et des autorisations supplémentaires sont requises pour qu'un compte puisse contrôler l'automate), une attaque réussie a le potentiel d'infliger d'importants dégâts aux cibles. ", a expliqué Microsoft.
Il ajoute : « Les acteurs malveillants pourraient lancer une attaque DoS contre un appareil utilisant une version vulnérable de Codesys pour arrêter les opérations industrielles ou exploiter les vulnérabilités RCE pour déployer une porte dérobée afin de voler des données sensibles, altérer les opérations ou forcer un API à fonctionner dans une manière dangereuse.
Microsoft a publié un long article de blog décrivant les vulnérabilités et comment elles peuvent être exploitées. Le géant de la technologie a également mis à disposition un outil open source conçu pour aider les utilisateurs à identifier les appareils concernés.
Codesys dispose également d'un avis décrivant les failles (lien de téléchargement direct).
Les vulnérabilités de Codesys ont été résumées cette semaine lors d'une session lors de la conférence sur la cybersécurité Black Hat par le chercheur Microsoft Vladimir Tokarev.
En rapport: Codesys corrige 11 failles affectant probablement les contrôleurs de plusieurs fournisseurs ICS
En rapport: Graves vulnérabilités découvertes dans le logiciel CODESYS utilisé par de nombreux produits ICS
En rapport: OT:Icefall continue avec des vulnérabilités dans les produits Festo et Codesys
Eduard Kovacs (@EduardKovacs) est rédacteur en chef chez SecurityWeek. Il a travaillé comme professeur d'informatique au lycée pendant deux ans avant de commencer une carrière dans le journalisme en tant que journaliste de sécurité pour Softpedia. Eduard est titulaire d'un baccalauréat en informatique industrielle et d'une maîtrise en techniques informatiques appliquées au génie électrique.
Abonnez-vous au briefing par e-mail SecurityWeek pour rester informé des dernières menaces, tendances et technologies, ainsi que des chroniques perspicaces d'experts du secteur.
Rejoignez des experts en sécurité pour discuter du potentiel inexploité de ZTNA en matière de réduction des cyber-risques et de responsabilisation de l'entreprise.
Rejoignez Microsoft et Finite State pour un webinaire qui présentera une nouvelle stratégie de sécurisation de la chaîne d'approvisionnement logicielle.
Même si les attaques quantiques sont encore à venir, les organisations doivent réfléchir à la manière de défendre les données en transit lorsque le chiffrement ne fonctionne plus. (Marie Hattar)