Team82 découvre 15 vulnérabilités dans le système de gestion de réseau de Siemens (SINEC NMS). Les vulnérabilités permettent des attaques par déni de service, la collecte d'informations d'identification et l'exécution de code à distance.
Les chercheurs en sécurité de Team82, le département de recherche du spécialiste de la sécurité des systèmes cyber-physiques (CPS) dans l'industrie, les établissements de santé et les entreprises Claroty, ont découvert un total de 15 vulnérabilités dans le système de gestion de réseau de Siemens (SINEC NMS). Par exemple, CVE-2021-33723 permet aux attaquants d'élever leurs privilèges et CVE-2021-33722 permet l'exécution de code à distance à l'aide d'une attaque par traversée de chemin. Toutes les versions antérieures à V1.0 SP2 Update 1 sont concernées. Siemens conseille aux utilisateurs de mettre à jour vers V1.0 SP2 Update 1 ou une version ultérieure. De plus, Siemens a publié des consignes de sécurité correspondantes.
Vulnérabilités : Siemens fournit une mise à jour
L'industrie 4.0 repose sur une mise en réseau solide pour accroître l'efficacité et permettre l'échange de données 24h/7 et XNUMXj/XNUMX entre différents appareils. Afin de pouvoir fournir une telle fonctionnalité, les systèmes de gestion de réseau (NMS) surveillent et maintiennent les éléments de réseau industriel. De plus, les données du réseau sont exploitées à partir des fonctions de processus via OPC UA et d'autres protocoles industriels pour permettre la corrélation de la télémétrie des processus et du réseau, garantissant la continuité et la surveillance des processus. SINEC NMS de Siemens est un outil populaire pour identifier les systèmes de contrôle et les processus dans le réseau, leurs connexions et dépendances respectives, ainsi que leur état. Les diagnostics générés par l'outil et la topologie du réseau permettent aux opérateurs de détecter et de répondre aux événements, d'améliorer les configurations, de surveiller la santé des appareils et d'effectuer des mises à niveau du micrologiciel et des modifications de configuration.
Attaque "Living-Off-The-Land" possible
Pour ce faire, SINEC a accès aux informations de connexion, aux clés cryptographiques et à d'autres secrets. Cependant, cela peut également permettre aux cybercriminels de lancer une attaque efficace "vivant hors de la terre", où des informations d'identification et des outils réseau légitimes sont utilisés à mauvais escient pour effectuer des activités malveillantes. S'ils ont accès à SINEC, ils peuvent l'utiliser pour explorer le réseau, se déplacer latéralement et élever leurs privilèges. Team82 a trouvé 15 vulnérabilités différentes dans SINEC qui pourraient permettre à un attaquant d'élever ses privilèges, d'obtenir des droits d'administration sur le système, de voler des informations confidentielles, de déclencher une attaque par déni de service sur la plate-forme et même d'exécuter du code à distance sur la machine hôte à l'aide de NT AUTHORITY \Privilèges SYSTÈME.
Les attaquants peuvent combiner les vulnérabilités de Siemens (SINEC NMS) pour exécuter du code à distance (Image : Claroty)
Entre-temps, Siemens a mis à disposition des correctifs pour plusieurs vulnérabilités de sécurité et conseille à tous les utilisateurs de mettre à jour vers la V1.0 SP2 Update 1 ou une version ultérieure. Team82 tient à remercier expressément Siemens pour sa coopération dans la découverte de ces vulnérabilités, pour la confirmation rapide des résultats et pour la résolution rapide de ces failles de sécurité.
À quoi ressemble cette attaque en détail, une preuve de concept et de plus amples informations peuvent être trouvées dans le billet de blog correspondant de Claroty.
Plus sur Claroty.com
À propos de Claroty Claroty, la société de cybersécurité industrielle, aide ses clients mondiaux à découvrir, protéger et gérer leurs actifs OT, IoT et IIoT. La plate-forme complète de la société s'intègre de manière transparente à l'infrastructure et aux processus existants des clients et offre une large gamme de contrôles de cybersécurité industrielle pour la transparence, la détection des menaces, la gestion des risques et des vulnérabilités et l'accès à distance sécurisé - avec un coût total de possession considérablement réduit.