Team82, le pôle de recherche du spécialiste de la sécurité des systèmes cyber-physiques (CPS) en milieu industriel, de santé et d'entreprise Clartéet Rockwell Automation ont conjointement révélé deux vulnérabilités dans les contrôleurs logiques programmables (PLC) Rockwell et le logiciel de poste de travail d'ingénierie.
CVE-2022-1161 affecte plusieurs versions des contrôleurs Logix de Rockwell et a obtenu le score CVSS le plus élevé de 10, tandis que CVE-2020-1159 affecte plusieurs versions de l'application Studio 5000 Logix Designer. Les vulnérabilités pourraient permettre au code modifié d'être téléchargé sur un automate alors que le processus semble normal aux techniciens à leur poste de travail. Cela rappelle Stuxnet et les attaques Rogue7. Rockwell fournit aux utilisateurs un outil qui détecte ce code caché. De plus, il est fortement recommandé aux utilisateurs de mettre à jour les produits concernés, ce qui peut révéler des manipulations.
Attaques furtives possibles
Les attaques furtives réussies sur les contrôleurs logiques programmables (PLC) sont parmi les attaques les plus rares, les plus longues et les plus coûteuses. Les auteurs de Stuxnet ont jeté les bases ici en trouvant un moyen de masquer le bytecode malveillant exécuté sur un automate, tandis que l'ingénieur qui programme le contrôleur ne voit que l'état normal sur son poste de travail. Pour ce faire, le code octet et le code texte doivent être découplés. Par exemple, lors de l'attaque Rogue7 sur les automates Siemens SIMATIC S7, les chercheurs ont pu modifier le code textuel tout en transmettant le bytecode malveillant à l'automate.
Team82 a testé la plate-forme PLC de Rockwell Automation pour ces attaques de type Stuxnet. Deux vulnérabilités ont été découvertes qui laissent les automates Logix et l'application Logix Designer de la société pour les postes de travail d'ingénierie vulnérables à de telles attaques. Les attaquants capables de modifier discrètement la logique PLC pourraient causer des dommages physiques dans les usines, compromettant la sécurité de la chaîne de montage et la fiabilité des robots.
Attaque comme Stuxnet réussie
Les deux points faibles identifiés permettent de découpler le code texte du code binaire et de le transférer vers l'automate, seul l'un mais pas l'autre étant modifié. Cela amène l'ingénieur à croire que l'automate exécute du code normal, alors qu'en fait, il exécute un code entièrement différent et potentiellement malveillant.
Plus sur Claroty.comÀ propos de Claroty Claroty, la société de cybersécurité industrielle, aide ses clients mondiaux à découvrir, protéger et gérer leurs actifs OT, IoT et IIoT. La plate-forme complète de la société s'intègre de manière transparente à l'infrastructure et aux processus existants des clients et offre une large gamme de contrôles de cybersécurité industrielle pour la transparence, la détection des menaces, la gestion des risques et des vulnérabilités et l'accès à distance sécurisé - avec un coût total de possession considérablement réduit.