Les vulnérabilités trouvées dans les dispositifs de passerelle de protocole peuvent faciliter les attaques furtives sur les systèmes industriels, permettant aux acteurs de la menace d’obtenir des informations précieuses et de saboter les processus critiques.

Les passerelles de protocole sont de petits appareils conçus pour garantir que divers types d’appareils informatiques et OT peuvent communiquer entre eux même s’ils utilisent des protocoles différents. Par exemple, ils peuvent traduire le trafic envoyé sur le même protocole mais sur deux couches physiques différentes (par exemple TCP vers RTU), traduire le trafic sur la même couche physique mais différents protocoles (par exemple Modbus RTU vers Profibus), ou traduire le trafic sur différentes couches physiques et protocoles (par exemple Modbus TCP vers Profibus).

Il existe deux types de passerelles de protocole: celles qui traduisent le trafic en temps réel et les stations de données, qui stockent le trafic traduit et le fournissent sur demande.

Les acteurs de la menace pourraient cibler les passerelles de protocole pour plusieurs raisons. Par exemple, ils peuvent provoquer de graves perturbations si l’appareil ne parvient pas à traduire correctement le trafic. Deuxièmement, les passerelles de protocole sont moins susceptibles d’être surveillées par les produits de sécurité, ce qui réduit la probabilité que l’attaque soit détectée. Et comme les problèmes de traduction ne sont pas faciles à diagnostiquer, une attaque peut être très furtive.

Les chercheurs de Trend Micro ont analysé les passerelles de protocole Nexcom NIO50, Schneider Electric Link 150, Digi One IA, Red Lion DA10D et Moxa MGate 5105-MB-EIP, qui sont utilisées dans de nombreuses entreprises. La recherche s’est concentrée sur la traduction du protocole de communication Modbus, qui est l’un des protocoles OT les plus largement utilisés.

Les chercheurs ont d’abord testé la capacité de ces appareils à gérer un trafic lourd ou mal formé, tel que celui qui serait envoyé par un attaquant.

Dans le cas des passerelles temps réel, les chercheurs ont utilisé un fuzzer pour générer des milliers de paquets Modbus TCP et Modbus RTU invalides qui ont été envoyés aux produits Schneider, Digi One et Nexcom …

Voir la source de cette publication