La vulnérabilité de Modipwn met des millions de systèmes de construction en danger
4 min read
Utilisateurs de Schneider Electric Il est conseillé aux automates programmables (PLC) Modicon, largement présents dans la fabrication, les applications d’automatisation des services du bâtiment, les services publics d’énergie et les systèmes CVC, d’être attentifs à l’exploitation d’une vulnérabilité de contournement d’authentification qui pourrait conduire à exécution de code à distance (RCE) sur un système cible.
Surnommé Modipwn par le Armis chercheurs responsables de sa découverte, la vulnérabilité, à attribuer CVE-2021-22779, permet une prise en charge complète de plusieurs modèles Modicon, dont le M340 et le M580.
Un attaquant théorique commencerait par obtenir un accès réseau à un automate Modicon cible. Une fois cela fait, ils peuvent exploiter des commandes non documentées dans le protocole des services d’application de messagerie unifiée (UMAS) pour divulguer un certain hachage de la mémoire de l’appareil.
Une fois en possession de ce hachage, ils peuvent alors prendre en charge la connexion sécurisée entre l’automate et son poste de gestion pour le reconfigurer avec une configuration sans mot de passe.
À partir de là, ils peuvent abuser de commandes supplémentaires non documentées pour obtenir des capacités RCE, établir la persistance, masquer leur présence et installer des logiciels malveillants.
« Armis et Schneider Electric ont travaillé ensemble pour garantir que les mesures de sécurité appropriées sont fournies », a déclaré Ben Seri d’Armis. « Nous exhortons toutes les organisations concernées à prendre des mesures dès maintenant.
« Le problème avec ces appareils hérités trouvés dans les environnements OT est que, historiquement, ils ont évolué sur des protocoles non cryptés. Il faudra du temps pour remédier à ces protocoles sous-jacents faibles. En attendant, les organisations opérant dans ces environnements doivent s’assurer d’avoir une visibilité sur ces appareils pour voir où se trouvent leurs points d’exposition.
« Cela est crucial pour empêcher les attaquants de contrôler leurs systèmes, voire de les rançonner. »
Des attaques sophistiquées telles que celles qui pourraient potentiellement exploiter Modipwn ont souvent été observées dans la nature auparavant, avec des exemples tels que l’attaque de malware Triton sur une installation pétrochimique du Moyen-Orient en décembre 2017. Armis a déclaré que les attaques qui altèrent les opérations des contrôleurs industriels menaçaient la continuité et la sécurité des activités, et que celles qui se cachent des solutions de surveillance sont évidemment difficiles à repérer.
S’adressant au titre sœur de Computer Weekly RechercheSécurité, Seri a déclaré que le problème était symptomatique de problèmes beaucoup plus profonds autour de la sécurité des systèmes de contrôle industriels, et a parlé d’un manque de soin et d’attention au cours du processus de développement. Il a déclaré que cela signifiait que même lorsque CVE-2021-22779 serait entièrement corrigé – prévu plus tard en 2021 – les automates Modicon pourraient rester vulnérables à d’autres attaques.
Un porte-parole de CERT des produits d’entreprise de Schneider Electric a déclaré : « Schneider Electric s’engage à collaborer de manière ouverte et transparente. Dans ce cas, nous avons collaboré avec ces chercheurs pour valider la recherche et évaluer son véritable impact. Nos constatations mutuelles démontrent que bien que les vulnérabilités découvertes affectent les offres de Schneider Electric, il est possible d’atténuer les impacts potentiels en suivant les instructions standard, les instructions spécifiques et, dans certains cas, les correctifs fournis par Schneider Electric pour supprimer la vulnérabilité.
« Comme toujours, nous apprécions et applaudissons la recherche indépendante sur la cybersécurité car, comme dans ce cas, elle aide l’industrie manufacturière mondiale à renforcer notre capacité collective à prévenir et à répondre aux cyberattaques.
« Travailler ensemble nous a permis d’améliorer notre compréhension des faiblesses potentielles d’EcoStruxure Control Expert. Cela nous a permis de divulguer cette vulnérabilité de manière opportune et responsable afin que nos clients et utilisateurs finaux puissent mieux protéger leurs opérations, leurs actifs et leurs personnes.
« Ensemble, nous continuons d’encourager l’écosystème des fournisseurs d’automatisation, des fournisseurs de solutions de cybersécurité et des utilisateurs finaux à collaborer pour réduire les risques de cybersécurité, et aidons nos clients à s’assurer qu’ils ont mis en œuvre les meilleures pratiques de cybersécurité dans leurs opérations et leurs chaînes d’approvisionnement.
Une ventilation complète de Modipwn, y compris une plongée technique plus approfondie, peut être trouvé ici.
