Mitsubishi Electric et sa filiale ICONICS ont publié des correctifs pour les vulnérabilités révélées plus tôt cette année lors de la compétition de piratage Pwn2Own Miami, qui s’est concentrée sur les systèmes de contrôle industriels (ICS).

Les pirates informatiques ont gagné un total de 280 000 $ pour les exploits qu’ils ont démontrés au concours Pwn2Own de Zero Day Initiative, en janvier, dont 80 000 $ pour les vulnérabilités trouvées dans le produit Genesis64 HMI / SCADA d’ICONICS.

Les chercheurs qui ont réussi à pirater le produit ICONICS étaient Pedro Ribeiro et Radek Domanski de l’équipe Flashback; Tobias Scharnowski, Niklas Breitfeld et Ali Abbasi de l’Institut Horst Goertz pour la sécurité informatique; Yehuda Anikster de Claroty; et Steven Seeley et Chris Anastasio de l’équipe Incite.

Ils ont signalé cinq vulnérabilités critiques et de haute gravité pour ICONICS, y compris celles qui permettent à un attaquant distant d’exécuter du code arbitraire et de lancer des attaques par déni de service (DoS) en envoyant des paquets spécialement conçus au système cible. Une vulnérabilité peut permettre à un attaquant d’exécuter des commandes SQL arbitraires.

Apprenez-en plus sur les vulnérabilités des systèmes industriels lors de la conférence ICS Cyber ​​Security 2020 de SecurityWeek et de la série d’événements virtuels Security Summits SecurityWeek

Les failles affectent Genesis64, Hyper Historian, AnalytiX, MobileHMI, Genesis32 et BizViz. Les mêmes vulnérabilités se sont également révélées avoir un impact sur les logiciels SCADA MC Works64 et MC Works32 de Mitsubishi. Des avis distincts ont été publiés pour les produits ICONICS et Mitsubishi concernés par la U.S.Cybersecurity and Infrastructure Security Agency (CISA) et les fournisseurs.

ZDI a dit SecurityWeek qu’il publiera bientôt des avis pour les vulnérabilités ICONICS révélées à Pwn2Own Miami.

L’entreprise de cybersécurité industrielle Claroty a découvert CVE-2020-12015, un bogue de désérialisation qui peut être exploité pour les attaques DoS. C’était l’un des cinq …