Les administrateurs de Copeland E2, les contrôleurs E3 ont demandé à corriger les appareils avant d’être compromis.
Les experts ont averti les dirigeants informatiques pendant des années que les appareils de technologie opérationnelle (OT) connectés à Internet peuvent avoir de graves vulnérabilités qui conduisent à des compromis sur le réseau. Mardi, une société de sécurité a révélé la découverte de 10 trous dans les contrôleurs du fabricant de systèmes de chauffage, de refroidissement et de réfrigération Copeland LP, qui pourrait permettre à un acteur de menace de désactiver ou de prendre une télécommande de l’équipement, peut-être des produits endommageant les produits et des blessures.
Les vulnérabilités, a déclaré Armis, «représentait un objectif potentiel de grande valeur pour les attaquants cherchant à perturber ou à rancher des fournisseurs d’infrastructures de vente au détail.»
Évoluer vers zéro confiance
«Les défauts découverts auraient pu permettre aux acteurs non autorisés de manipuler à distance des paramètres, de désactiver les systèmes, d’exécuter un code distant ou de gagner un accès non autorisé à des données opérationnelles sensibles. Lorsqu’elles sont combinées et exploitées, ces vulnérabilités peuvent entraîner une exécution de code à distance non authentique avec des privilèges racinaires», indique le rapport.
D’autres vulnérabilités E3 peuvent permettre à un acteur de menace de s’authentifier en obtenant uniquement un hachage de mot de passe, ou d’obtenir tous les noms d’utilisateur et hachages de mot de passe pour les services d’application via un appel API, ou pour accéder à n’importe quel fichier en téléchargeant un plan d’étage de construction spécialement conçu.
La vulnérabilité dans les contrôleurs E2 se fait par l’utilisation d’un protocole propriétaire qui permet des opérations de fichiers non authentifiées (CVE-2025-52551).
Pour garantir la sécurité, les organisations doivent évoluer vers une architecture de fiducie zéro pour le déploiement des appareils OT, a déclaré Beggs. Cela comprend la vérification de l’identité de l’utilisateur, l’application de l’authentification multifactor, la prise en charge de l’accès basé sur les rôles et la garantie que tous les accès aux appareils sont surveillés et enregistrés en toute sécurité.
Contenu connexe: Les CISO ont du mal à mettre en œuvre zéro confiance
«Après avoir été informé des vulnérabilités potentielles E2 et E3, les ingénieurs de Copeland ont immédiatement agi pour résoudre rapidement les problèmes potentiels et s’assurer que les systèmes de nos clients sont restés en sécurité, tout en maintenant une communication transparente avec tous les clients potentiellement affectés», a poursuivi Copeland. «Pour le moment, il n’y a aucun exploit connu des vulnérabilités potentielles. Nous encourageons fortement nos clients à appliquer rapidement les correctifs disponibles pour assurer une sécurité continue.»
«Les lacunes attendues»
Le système de gestion des installations E2 est conçu pour fournir un contrôle complet des systèmes de construction et de réfrigération, notamment des groupes de compresseurs, des condenseurs, des rendez-vous, des unités de CVC et de l’éclairage, a déclaré Copeland.
Le nouveau système E3 ajoute un écran tactile intégré avec une interface et une intégration accessibles au Web avec le logiciel de contrôle de supervision de Copeland. Le système E3 remplace l’E2, qui est devenu fin de vie en octobre 2024. Cependant, certaines organisations peuvent toujours utiliser les systèmes E2, et l’utilisation d’un protocole propriétaire non authentifié dans les contrôleurs E2 permet des opérations sensibles sans aucune forme de vérification ou de cryptage d’identité. «Ce ne sont pas seulement les oublis de codage», explique Armis, «ils représentent des risques structurels qui peuvent persister dans des environnements en OT pendant des années.»
Les résultats d’Armis ne sont pas rares, a déclaré Beggs. « En fait », a-t-il ajouté, « ils pourraient tomber sous le parapluie des« lacunes attendues ». Jusqu’à ce que les appareils (OT) (OT) soient principalement jugés principalement sur le fait qu’ils fonctionnaient ou non et effectuaient des tâches attendues.
Exiger des appareils OT sécurisés
Pour cette raison, Beggs a averti: «Si les organisations ne demandent pas d’appareils sécurisés, ils ne seront pas fournis par le vendeur.»
Contenu connexe: Naviguer dans l’avenir de la sécurité OT
Il y a eu des changements récemment dans la cybersécurité OT, a-t-il ajouté, car les clients reconnaissent les risques de sécurité associés aux appareils connectés à Internet. Mais, a-t-il dit, la perspective modifiée doit être égalée par de réels changements dans la façon dont les appareils OT sont acquis et gérés.
Tout d’abord, a-t-il dit, il doit y avoir une exigence ou une demande de clients pour des opérations sécurisées. Deuxièmement, le schisme entre l’informatique et la gestion des OT doit être résolu. « Il est tout à fait typique d’être invité à faire un test de pénétration des réseaux câblés et sans fil, puis à ignorer les appareils OT parce qu’ils sont gérés par un autre département », a-t-il déclaré.
Les outils réseau (Cybersecurity Intelligence, Inventaire automatisé, configuration de sécurité et gestion, corrects, rapports) doivent inclure des réseaux OT ainsi que les réseaux informatiques les plus courants, selon les réseaux. Et les processus de réponse aux incidents doivent adopter le réseau OT.
« Actuellement, le réseau OT est traité si différemment du réseau informatique que les processus de sécurité sont rares », a-t-il déclaré. «Là où ils existent, ils sont généralement un duplicata de ce qui est offert sur le réseau informatique, augmentant le coût et la complexité de la gestion. Surmonter le« grand schisme »réduira les coûts et la responsabilité potentielle pour tous les utilisateurs.»
