Un avis de sécurité publié cette semaine par la Cybersecurity and Infrastructure Security Agency (CISA) alerte les administrateurs des vulnérabilités de deux dispositifs de systèmes de contrôle industriels : les automates Unitronics Vision Series et Mitsubishi Electric MELSEC iQ-R Series.
CISA a averti que le contrôleur PLC Unitronics Vision Series est susceptible d'être exploité à distance en raison de son stockage de mots de passe dans un format récupérable. Cette vulnérabilité (CVE-2024-1480) s'est vu attribuer un score CVSS de 8.7.
Unitronics n'a pas répondu ni travaillé avec l'agence pour atténuer le problème, laissant les réseaux équipés de ces appareils ouverts aux cyberattaques, selon CISA. L'avis recommande de s'assurer que les contrôleurs ne sont pas connectés à Internet, de les isoler des réseaux d'entreprise, de protéger les appareils derrière des pare-feu et d'utiliser des méthodes sécurisées, comme les réseaux privés virtuels (VPN), pour l'accès à distance.
Le reste Vulnérabilités ICS impact sur le module CPU MELSEC iQ-R de Mitsubishi Electric Corporation. Un défaut de conception du processeur, suivi sous CVE-2021-20599, s'est vu attribuer un score CVSS de 9.1. L'unité transmet les mots de passe en texte clair, qui sont facilement interceptés par les adversaires.
Les processeurs Mitsubishi MELSEC hébergent également trois failles signalées qui pourraient permettre à un acteur malveillant de compromettre les noms d'utilisateur, d'accéder à l'appareil et de refuser l'accès aux utilisateurs légitimes. Ceux-ci incluent : l’exposition d’informations sensibles (CVE-2021-20594, CVSS 5.9) ; Informations d’identification insuffisamment protégées (CVE-2021-20597, CVSS 7.4) ; et un mécanisme restrictif de verrouillage de compte (CVE-2021-20598, CVSS 3.7).
Mitsubishi s'efforce de fournir des atténuations et des solutions de contournement à ces problèmes. Cependant, les systèmes dotés de ces appareils ne peuvent pas être mis à jour avec un correctif, selon CISA. L'agence conseille aux administrateurs disposant de ces appareils dans leurs réseaux de renforcer leurs défenses avec des pare-feu, des limitations d'accès à distance et des restrictions d'adresse IP.
"Mitsubishi Electric a publié la version corrigée… mais la mise à jour du produit vers la version corrigée n'est pas disponible", indique l'avis. "CISA recommande aux utilisateurs de prendre des mesures défensives pour minimiser le risque d'exploitation de cette vulnérabilité."
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/ics-ot-security/ics-network-controllers-open-to-remote-exploit-no-patches-available
