Le logiciel Global OpenSSL pour le chiffrement des données doit être mis à jour de toute urgence. Le niveau de menace de la vulnérabilité est considéré comme « Élevé ». Le chiffrement de transport basé sur TLS est donc menacé. Les serveurs, les clients et les infrastructures IoT doivent être corrigés. Le BSI met également en garde.
Une nouvelle vulnérabilité menaçante met en danger tous les systèmes du monde entier qui utilisent OpenSSL, l'un des logiciels les plus utilisés pour le chiffrement de toutes sortes, pour le chiffrement de transport basé sur TLS. Lors du traitement de certains certificats TLS, des attaques ciblées peuvent paralyser complètement clients et serveurs (DoS - Denial of Service). « Les serveurs, clients et autres appareils doivent être vérifiés immédiatement et corrigés si nécessaire. Étant donné que ce logiciel est très répandu, la majorité de tous les systèmes informatiques - des serveurs aux clients en passant par l'Internet des objets - sont concernés. Si les pirates s'attaquent spécifiquement à cette lacune, elle peut devenir très critique pour les entreprises et les institutions », prévient Jan Wendenburg, PDG d'IoT Inspector. La société de sécurité exploite la principale plate-forme européenne de vérification automatisée du micrologiciel IoT. La vulnérabilité récemment connue peut également être spécifiquement détectée et éliminée dans les appareils et infrastructures IoT et IIoT, ou dans leurs logiciels.
Niveau de menace : Élevé
Dans un passé récent, l'équipe IoT Inspector a découvert de nombreuses vulnérabilités chez des fabricants de matériel bien connus. « Nous avons constaté qu'après la publication d'un avis technique, des pirates ont commencé à s'attaquer à la faille de sécurité corrigée. Par conséquent, les administrateurs doivent immédiatement vérifier si le problème vient de leurs réseaux », déclare Jan Wendenburg d'IoT Inspector. La vulnérabilité (CVE-2022-0778) a un niveau de menace élevé. Il a été découvert par Tavis Ormandy, un hacker britannique travaillant actuellement chez Google dans le cadre de l'équipe Project Zero. Les versions 1.0.2, 1.1.1 et 3.0 d'OpenSSL sont affectées par la vulnérabilité. Les administrateurs qui utilisent OpenSSL doivent installer l'une des versions sécurisées 1.1.1n ou 3.0.2 dès que possible.
situation imprévisible
L'équipe de spécialistes d'IoT Inspector conseille que des réactions rapides sont particulièrement conseillées dans le contexte des cyberattaques internationales dues à la guerre en Ukraine : « Les infrastructures critiques, mais aussi les entreprises, sont actuellement plus menacées que jamais. L'utilisation découverte de la technologie européenne dans l'équipement de guerre russe montre à quelle vitesse les entreprises peuvent désormais se retrouver prises entre deux feux et éventuellement entraînées dans une campagne par des pirates anonymes. La situation est imprévisible », explique Wendenburg. Il y a quelques jours à peine, l'Office fédéral de la sécurité de l'information (BSI) a mis en garde pour la troisième fois contre des attaques liées à la guerre contre des infrastructures informatiques. Chaque composant d'un réseau peut être utilisé comme passerelle, à condition que les failles de sécurité ne soient pas identifiées par une analyse ciblée puis corrigées. Après les avertissements du BSI, IoT Inspector continue de proposer un contrôle de sécurité gratuit pour les terminaux IoT/IIoT de tous types dans les infrastructures KRITIS afin de protéger au mieux l'architecture de sécurité européenne. Une vérification du micrologiciel ne prend que quelques minutes et analyse les risques pertinents.
Plus sur IoT-Inspector.com
À propos de l'inspecteur IoT
IoT Inspector est la principale plate-forme européenne d'analyse de la sécurité IoT et permet de tester automatiquement le micrologiciel des appareils IoT pour détecter les failles de sécurité critiques en quelques clics de souris. Dans le même temps, le vérificateur de conformité intégré détecte les violations des réglementations internationales en matière de conformité. Les points faibles pour les attaques externes et les risques de sécurité sont identifiés dans les plus brefs délais et peuvent être éliminés de manière ciblée. La solution, facile à utiliser via une interface Web, révèle des risques de sécurité inconnus pour les fabricants et les distributeurs de la technologie IoT.