Plusieurs vulnérabilités découvertes par les chercheurs de Kaspersky dans le logiciel Rockwell Automation ont un impact sur les produits industriels de Schneider Electric, GE et d’autres fournisseurs.

Les failles de sécurité ont été identifiées par les chercheurs de Kaspersky dans ISaGRAF de Rockwell Automation, qui est conçu pour le développement de produits d’automatisation.

Le plus grave d’entre eux semble être CVE-2020-25176, un problème critique qui peut être exploité par « un attaquant distant authentifié sur l’IXL [ISaGRAF eXchange Layer] protocole pour traverser le répertoire d’une application, ce qui pourrait conduire à l’exécution de code à distance.

Un autre problème potentiellement grave est CVE-2020-25178, une faille de haute gravité liée à la transmission d’informations en texte clair. Un attaquant distant non authentifié peut l’exploiter pour télécharger, lire ou supprimer des fichiers.

CVE-2020-25184, qui a également été noté gravité élevée, peut être exploité par un attaquant local non authentifié pour obtenir les mots de passe des utilisateurs, qui sont stockés en clair dans un fichier.

Deux autres vulnérabilités identifiées par Kaspersky ont été notées gravité moyenne. L’un permet à un attaquant local non authentifié d’exécuter du code arbitraire, tandis que l’autre peut conduire à la divulgation d’informations et il peut être exploité à distance sans authentification.

En savoir plus sur les vulnérabilités des produits industriels lors de la conférence sur la cybersécurité ICS de SecurityWeek et de la série d’événements virtuels Security Summits de SecurityWeek

Evgeny Gontcharov, chef de l’équipe d’intervention d’urgence cybernétique ICS à Kaspersky, a déclaré Semaine de la sécurité que l’impact de ces vulnérabilités, si elles devaient être exploitées dans le cadre d’attaques, dépend de l’utilisation de l’appareil ciblé.

« Comme certains des produits concernés sont connus pour être utilisés pour contrôler les actifs critiques des entreprises industrielles et que, par conséquent, des parties essentielles du processus technologique de l’entreprise en dépendent, les conséquences potentielles des attaques pourraient être assez…

Voir la source de cette publication