Un chercheur de Kaspersky a identifié plusieurs vulnérabilités dans Emerson OpenEnterprise, une solution de contrôle de supervision et d’acquisition de données (SCADA) conçue pour l’industrie pétrolière et gazière.

Roman Lozko, chercheur à l’unité ICS CERT de Kaspersky, a découvert quatre vulnérabilités dans Emerson OpenEnterprise. Les failles de sécurité ont été signalées au vendeur en décembre 2019 et des correctifs ont été publiés quelques mois plus tard.

La U.S.Cybersecurity and Infrastructure Security Agency (CISA) et Kaspersky ont publié des avis pour trois des vulnérabilités la semaine dernière. La vulnérabilité restante a été décrite par Kaspersky dans un avis précédent.

Selon Emerson, OpenEnterprise est spécialement conçu pour répondre aux besoins des organisations axées sur la production, le transport et la distribution de pétrole et de gaz.

Les failles de sécurité détectées par Lozko ont été décrites comme un dépassement de mémoire tampon basé sur le tas, une authentification manquante, une gestion incorrecte de la propriété et des problèmes de chiffrement faibles.

En savoir plus sur les vulnérabilités des systèmes industriels lors de la série d’événements virtuels SecurityWeek 2020 ICS Cyber ​​Security et SecurityWeek Security Summits

Les deux premiers sont les plus graves. Suivi comme CVE-2020-6970 et CVE-2020-10640 et tous deux considérés comme critiques, ils peuvent permettre à un attaquant d’exécuter à distance du code arbitraire avec des privilèges élevés sur les appareils exécutant OpenEnterprise.

« Les vulnérabilités les plus critiques permettent aux attaquants distants d’exécuter n’importe quelle commande sur un ordinateur avec OpenEnterprise dessus avec des privilèges système, donc cela pourrait entraîner des conséquences possibles », a déclaré Vladimir Daschenko, expert en sécurité chez Kaspersky. SecurityWeek.

Daschenko dit qu’un attaquant pourrait exploiter ces vulnérabilités à partir du réseau ou directement à partir d’Internet. Cependant, il ne semble pas y avoir d’exemples de produits concernés exposés à Internet.

« Basé sur Shodan …