Les géants de l’automatisation industrielle Siemens et Schneider Electric ont publié mardi plusieurs avis de sécurité pour informer les clients sur des dizaines de vulnérabilités affectant leurs produits. Les entreprises ont fourni des correctifs et des recommandations pour réduire le risque d’exploitation.

Siemens

Les huit nouveaux avis publiés par Siemens lors de ce Patch Tuesday couvrent environ deux douzaines de vulnérabilités affectant ses produits Simcenter Femap, SIMATIC TIM, Solid Edge, SIMATIC NET, Mendix, JT2Go, Teamcenter Visualization et SIMATIC RF.

Le seul avis avec un indice de gravité global critique décrit 15 vulnérabilités affectant le SIMATIC NET CP 443-1 OPC UA, en particulier son composant NTP (Network Time Protocol). Les failles ont été découvertes dans NTP entre 2015 et 2017, mais il n’est pas rare que les fournisseurs de solutions industrielles corrigent des composants logiciels tiers des années après la mise à disposition des correctifs.

Ces vulnérabilités NTP peuvent être exploitées pour des attaques DoS, en contournant les mécanismes de sécurité, en exécutant du code arbitraire à distance, en obtenant des informations et en manipulant le temps.

En savoir plus sur les vulnérabilités des produits industriels lors de la conférence sur la cybersécurité ICS de SecurityWeek et de la série d’événements virtuels Security Summits de SecurityWeek

Les autres avis publiés par Siemens ont une cote de gravité globale élevée. Ils décrivent des failles de sécurité qui peuvent être exploitées pour des attaques DoS, l’exécution de code arbitraire, l’extraction de données, l’élévation de privilèges et le contournement des mécanismes de sécurité.

Schneider Electric

Schneider Electric a également décrit environ deux douzaines de vulnérabilités dans les nouveaux avis publiés mardi.

Un avis décrit 13 failles affectant le produit SCADA Interactive Graphical SCADA System (IGSS) de la société. Les failles de sécurité ont été classées de sévérité élevée et leur exploitation peut entraîner la perte de données ou l’exécution de code à distance. Un attaquant…

Voir la source de cette publication