Inside the Heavy Industry, Factory Female Industrial Engineer Works on Personal Computer She Designs 3D Engine Model, Her Male Colleague Talks with Her and Uses Tablet Computer. Low Angle Shot.

Criblés de failles, les convertisseurs série vers Ethernet mettent en danger les infrastructures critiques

Lucas Morel

Les terminaux distants, les automates programmables, les systèmes PoS et les moniteurs de chevet des patients peuvent être sensibles à l’exécution de code à distance, au contournement de l’authentification et à la divulgation d’informations en raison de nombreuses vulnérabilités des adaptateurs.

Les adaptateurs série vers Ethernet utilisés dans les environnements industriels, de vente au détail et de soins de santé pour relier des appareils série aux réseaux TCP/IP sont criblés de vulnérabilités et de composants open source obsolètes, préviennent les chercheurs. Les failles permettent divers scénarios d’attaque, notamment la prise de contrôle total d’équipements critiques tels que des terminaux distants, des automates programmables, des systèmes de point de vente et des moniteurs de chevet des patients.

Dans une nouvelle étude baptisée BRIDGE:BREAK, des chercheurs de la société de cybersécurité Forescout ont analysé le micrologiciel de cinq principaux fournisseurs de convertisseurs série-IP et ont découvert que chaque image du micrologiciel contenait en moyenne 80 composants logiciels open source comportant près de 2 500 vulnérabilités connues et 89 exploits accessibles au public.

En outre, les chercheurs ont identifié 22 nouvelles vulnérabilités dans trois appareils de Lantronix et Silex Technology America, avec un impact allant de l’exécution de code à distance au contournement de l’authentification, en passant par la divulgation d’informations et le déni de service.

Les moteurs de recherche tels que Shodan affichent près de 20 000 convertisseurs série vers Ethernet exposés sur Internet, bien que le nombre de ces appareils déployés au sein des réseaux se chiffre probablement en millions, car ils sont utilisés dans de nombreux secteurs. Mais même lorsqu’ils ne sont pas directement connectés à Internet, les attaquants peuvent toujours atteindre ces appareils après avoir pénétré dans les réseaux internes via divers autres vecteurs d’accès initial.

Étant donné que les protocoles série manquent souvent d’authentification ou de cryptage, « les attaquants peuvent modifier les données série reçues d’un capteur à mesure qu’elles pénètrent dans le réseau IP », ont expliqué les chercheurs. « Par exemple, changer la température, la pression, l’humidité, le débit, la fréquence cardiaque du patient à des valeurs arbitraires. À l’inverse, les attaquants peuvent modifier les commandes circulant du réseau IP vers le côté série avant qu’elles n’atteignent un actionneur. Par exemple, changer la vitesse ou la direction d’un servomoteur. « 

Les convertisseurs série vers IP ont déjà été la cible d’attaques réelles contre des infrastructures critiques. Par exemple, lors d’une cyberattaque de 2015 qui a perturbé la distribution d’énergie dans plusieurs sous-stations électriques en Ukraine, les attaquants ont chargé un micrologiciel corrompu sur les convertisseurs série-IP Moxa via la fonction de mise à jour du micrologiciel.

Puis, il y a quelques mois à peine, en décembre, des parcs éoliens et solaires en Pologne ont été ciblés par des pirates informatiques russes lors d’une cyberattaque impliquant la réinitialisation des configurations des serveurs de périphériques série Moxa NPort. Les appareils n’étaient pas directement exposés à Internet, mais les attaquants y ont eu accès après avoir compromis les concentrateurs VPN.

Composants vulnérables et manque de renforcement du micrologiciel

Le micrologiciel des appareils analysés par Forescout exécutait d’anciennes versions du noyau Linux ainsi que d’autres bibliothèques et binaires d’espace utilisateur obsolètes. De plus, la moitié des branches du noyau Linux observées ont atteint leur fin de vie, compliquant les futures mises à jour.

En conséquence, les images de firmware analysées présentaient en moyenne plus de 2 000 vulnérabilités connues, la plupart situées dans le noyau Linux lui-même. L’image du micrologiciel présentant le plus petit nombre de failles comportait toujours 210 vulnérabilités. Bien sûr, tous les défauts ne sont pas égaux, mais en moyenne 68 % étaient de gravité faible ou moyenne, 29 % de gravité élevée et 3 % de gravité critique.

En raison des anciennes versions du noyau utilisées, les atténuations anti-exploit appliquées au niveau du système d’exploitation pour les binaires étaient également très incohérentes. Seulement 23 % des images de firmware utilisaient des Stack Canaries, une fonctionnalité qui empêche les exploits de type « stack smashing » ; 44 % ont utilisé RELRO (Relocation Read-Only), qui empêche les attaquants de rediriger l’exécution en remplaçant la table de décalage global ; 67 % ont utilisé PIE (Position Independent Executable), un mécanisme qui rend les attaques de programmation orientée retour (ROP) beaucoup plus difficiles ; et 84 % ont utilisé NX (No-eXecute bit), une fonctionnalité qui marque certaines zones de pile mémoire et de tas comme non exécutables pour empêcher de simples exploits de débordement de tampon.

Nouveau RCE et autres vulnérabilités

Outre toutes les vulnérabilités connues des composants open source, les chercheurs de Forescout ont également effectué une analyse de sécurité manuelle et identifié des failles jusqu’alors inconnues dans le micrologiciel de trois appareils spécifiques de deux fournisseurs : Lantronix EDS3000PS Series, Lantronix EDS5000 Series et Silex SD330-AC.

L’interface de gestion Web du Lantronix EDS5000 présentait cinq failles dans plusieurs pages et champs causées par une vérification manquante des entrées qui pouvaient conduire à l’exécution de code à distance en tant que root. Le Lantronix EDS3000PS présentait un RCE, un problème de contournement d’authentification et une faille de prise de contrôle de l’appareil où la fonction de changement de mot de passe ne demandait pas l’ancien mot de passe, permettant potentiellement aux attaquants de modifier le mot de passe du compte administrateur.

Alors que les failles de Lantronix concernaient toutes l’interface Web, certaines des 12 vulnérabilités trouvées dans le Silex SD-330AC se trouvaient dans divers services réseau, exploitables via des paquets UDP. Au total, les chercheurs ont découvert trois nouvelles failles RCE, un contournement d’authentification, un problème de téléchargement de fichiers arbitraire qui pourrait permettre à des attaquants non authentifiés de télécharger des fichiers binaires du micrologiciel, deux bogues de prise de contrôle de périphérique et d’élévation de privilèges, deux failles de falsification de la configuration et d’autres problèmes pouvant conduire à la divulgation d’informations et à un déni de service.

En outre, les chercheurs ont découvert que les attaquants pouvaient obtenir la clé de signature du micrologiciel, ce qui pourrait leur donner la possibilité de créer des images de micrologiciel malveillantes. Silex est en train de remédier à ce problème.

Atténuation

« Alors que ces appareils sont de plus en plus déployés pour connecter des équipements série existants aux réseaux IP, les fournisseurs et les utilisateurs finaux devraient considérer leurs implications en matière de sécurité comme une exigence opérationnelle essentielle », ont déclaré les chercheurs de Forescout.

Lantronix et Silex ont déjà publié des mises à jour du micrologiciel pour corriger les failles signalées : version 1.50 du micrologiciel SD-330AC, version 2.2.0.0R1 de la série EDS5000 et version 3.2.0.0R2 de la série EDS3000.

En plus des correctifs, Forescout recommande :

  • Remplacement des informations d’identification par défaut et interdiction des mots de passe faibles pour réduire le risque d’exploitation des vulnérabilités authentifiées
  • Segmenter les réseaux pour empêcher les acteurs malveillants d’atteindre les convertisseurs série-IP vulnérables ou d’utiliser ces appareils pour compromettre d’autres actifs critiques.
  • S’assurer qu’ils ne sont pas exposés à Internet
  • Mettre en œuvre des contrôles d’accès stricts pour les interfaces de gestion (telles que l’interface utilisateur Web) afin que seuls les postes de travail de gestion pré-approuvés puissent y accéder
  • Utiliser des sous-réseaux dédiés ou des VLAN où ils sont uniquement autorisés à communiquer avec les périphériques série qu’ils gèrent et les périphériques côté IP qui devraient avoir accès à ces données série
  • Surveillance des tentatives d’exploitation sur les convertisseurs série vers IP et des modèles de communication inhabituels suggérant qu’un attaquant cible les données lues ou envoyées vers la liaison série.
Infrastructure critiqueSécuritéVulnérabilités

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Close up on mans hand with architecture drawing
Des chercheurs découvrent un malware de sabotage industriel qui a précédé Stuxnet de 5 ans
Handala's Shift et Ashab al-Yamin sur Telegram
Handala’s Shift et Ashab al-Yamin sur Telegram
1887170134 attack surface programming abstract
Stopper les attaques AiTM : les défenses qui fonctionnent réellement une fois l’authentification réussie