Plusieurs vulnérabilités critiques ont été découvertes par les chercheurs dans les produits du fournisseur de solutions d’automatisation industrielle appartenant à PTC, Kepware.

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié la semaine dernière deux avis décrivant les vulnérabilités identifiées dans les produits Kepware.

L’un des avis couvre trois failles découvertes par des chercheurs de la société de cybersécurité industrielle Claroty. Les failles de sécurité, deux jugées critiques et une de haute gravité, sont décrites comme un dépassement de mémoire tampon basé sur la pile, un dépassement de mémoire tampon basé sur le tas et un bogue après utilisation libre.

Les vulnérabilités critiques peuvent être exploitées pour planter le serveur, fuir des données et exécuter à distance du code arbitraire en ouvrant un message OPC UA spécialement conçu. Le bogue de haute gravité peut permettre à un attaquant de planter le serveur en créant et en fermant des connexions OPC UA à un taux élevé, a déclaré CISA dans son avis.

«Les vulnérabilités étaient localisées dans les produits KEPServerEX, ThingWorx et OPC-Aggregator OPC», a déclaré Uri Katz, chercheur senior chez Claroty. SecurityWeek. «Afin d’exploiter ces vulnérabilités, les attaquants devraient avoir un accès réseau au serveur OPC. Les serveurs OPC sont un élément central de nombreux réseaux OT, ce qui en fait une cible lucrative pour les attaquants. »

Katz a ajouté: «Dans nos recherches, nous avons pu montrer que ces vulnérabilités peuvent être exploitées à distance sans aucune authentification nécessaire et qu’une exploitation réussie de ces vulnérabilités pourrait entraîner une panne du serveur, une condition de déni de service, une fuite de données ou à distance exécution de code. »

CISA a noté que les produits de Rockwell Automation, GE Digital et Software Toolbox utilisent également un composant vulnérable et a conseillé aux clients de ces sociétés de vérifier si leurs produits sont affectés et d’appliquer les correctifs disponibles. Les avis publiés par Rockwell, GE et Software Toolbox ne mentionnent que les plantages (DoS) et les fuites de données …