Le géant industriel américain Emerson a informé cette semaine ses clients qu’il avait publié des mises à jour du micrologiciel pour ses analyseurs de gaz Rosemount X-STREAM afin de remédier à une demi-douzaine de vulnérabilités, y compris celles qui ont été jugées de haute gravité.

Les analyseurs de gaz d’Emerson sont conçus pour permettre aux organisations industrielles d’analyser en continu les émissions de gaz de procédé. La société a découvert lors de tests internes que ses analyseurs améliorés X-STREAM sont affectés par un total de six vulnérabilités.

La société a publié un premier avis en décembre 2020, mais elle n’a fourni aucune information sur les vulnérabilités – elle n’a fourni que quelques recommandations générales que les clients pourraient appliquer jusqu’à ce que les correctifs soient disponibles.

Une deuxième version de l’avis a été publiée le 18 mai, lorsque la société a fourni une brève description de chaque vulnérabilité et informé les clients de la disponibilité des correctifs.

L’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA), qui a également publié un avis sur ces failles le 18 mai, a déclaré que les produits concernés sont utilisés dans le monde entier, en particulier dans les secteurs de l’énergie et de la chimie.

Trois des six défauts ont reçu une cote de gravité élevée. L’un d’eux est lié au cryptage des informations d’identification des utilisateurs avec un algorithme faible. Un attaquant qui obtient ces informations d’identification peut accéder à un appareil et le reconfigurer ou obtenir des informations sensibles.

Une autre vulnérabilité de haute gravité est liée à l’application permettant le téléchargement de fichiers, qui permet à un attaquant de télécharger des fichiers malveillants qui peuvent leur donner accès aux informations de connexion et à d’autres informations sensibles.

Un niveau de gravité élevé a également été attribué à un problème de traversée de chemin qui pourrait être exploité pour accéder aux données stockées sur le serveur Web en tapant directement l’URL de la page ciblée.

Les trois autres vulnérabilités ont été jugées de gravité moyenne et peuvent permettre à un attaquant de …