AccueilActualités informatiqueHoneywell : Des lacunes critiques dans les contrôleurs permettent d'accéder au système...

Honeywell : Des lacunes critiques dans les contrôleurs permettent d’accéder au système de contrôle des processus

Le système de contrôle des processus Experion PKS (Process Knowledge System), utilisé dans les usines de fabrication industrielle, est vulnérable à distance, avertit l’autorité américaine CISA. La raison de l’avertissement est due à trois vulnérabilités dans l’application Modèles de contrôleur C200, C200E, C300 et ACE (« Environnement de contrôle des applications »). Deux de ces vulnérabilités sont considérées comme critiques (scores CVSS de 9,1 et 10,0 sur une possibilité de 10), la troisième est considérée comme présentant un risque élevé (7,5 sur 10).

Pour les contrôleurs C300, le fabricant Honeywell a publié un correctif combinant le logiciel du serveur et le micrologiciel du contrôleur ; les utilisateurs des autres modèles doivent recourir aux mécanismes de protection généraux expliqués dans les avis de la CISA et de Honeywell. Aucune attaque sur les vulnérabilités dans la nature n’a été observée jusqu’à présent.

Sommaire

Comme le montrent les publications de CISA et de Honeywell, au moins une des vulnérabilités, CVE-2021-38397 avec le score CVSS le plus élevé, est basée sur la manipulabilité des bibliothèques de composants de contrôle (CCL), qui fournissent certaines fonctions de contrôle. Ceux-ci pourraient être modifiés par des attaquants et chargés sur les modèles de contrôleur concernés sous cette forme modifiée – apparemment en raison de l’absence ou de l’utilisation insuffisante de signatures numériques.

Par la suite, l’exécution à distance d’un code de programme arbitraire est envisageable, ce qui pourrait également provoquer des états de déni de service. Une exploitation de la deuxième vulnérabilité critique (CVE-2021-38395) pourrait avoir les mêmes conséquences. Honeywell nomme certaines CCL standard dans son avis et souligne qu’il n’est pas important pour les attaques que ces bibliothèques soient habituellement utilisées par le système concerné ou non.

La vulnérabilité CVE-2021-38399 avec un paramètre « élevé », d’autre part, est basée sur ce qu’on appelle la traversée de chemin, qui permet un accès non autorisé aux fichiers et aux répertoires, selon le CISA. Ces trois vulnérabilités sont exploitables à distance, en fonction bien sûr de la structure du réseau, des configurations et des mécanismes de protection existants. Les avis contiennent des détails supplémentaires sur les vulnérabilités de sécurité, un aperçu des mises à jour pour les contrôleurs C300 ainsi que des recommandations générales sur les mesures à prendre pour protéger l’infrastructure concernée :

  • Avis ICS (ICSA-21-278-04) de CISA
  • Notification de sécurité Honeywell SN 2021-02-2201
  • Guide de planification du réseau et de la sécurité Honeywell Experion

Lire aussi

Plus d'articles