Siemens a publié mardi un total de 14 nouveaux avis, dont cinq décrivant l’impact et les remèdes pour les vulnérabilités NAME: WRECK révélées le même jour.

La société de sécurité IoT Forescout a révélé mardi que quatre piles TCP / IP populaires – en particulier FreeBSD, Nucleus de Siemens, IPnet et NetX – sont affectées par un total de neuf failles liées au DNS qui peuvent être exploitées pour l’exécution de code à distance (y compris pour prendre le contrôle des périphériques ciblés), les attaques DoS et l’empoisonnement du cache DNS.

Les vulnérabilités, collectivement suivies comme NOM: WRECK, pourrait affecter des milliards d’appareils qui utilisent ces piles TCP / IP pour les communications réseau, mais les chercheurs de Forescout estiment qu’au moins 100 millions d’appareils sont exposés aux attaques.

Siemens a publié mardi plusieurs avis liés à NAME: WRECK: un avis pour décrire deux failles d’écriture hors limites pouvant conduire à l’exécution de code ou des attaques DoS, un autre avis pour un problème d’empoisonnement du cache DNS, un avis pour deux vulnérabilités DoS, et deux avis pour les quatre mêmes failles d’empoisonnement du cache DoS et DNS (l’une concerne l’impact sur le système de surveillance à distance du moteur SIMOTICS CONNECT 400).

Les produits concernés incluent Nucleus 4, Nucleus NET, Nucleus RTOS, Nucleus ReadyStart et VSTAR, ainsi que le code source Nucleus. Siemens a publié des correctifs pour certains des produits concernés et a également fourni des solutions de contournement et des mesures d’atténuation pour réduire le risque jusqu’à ce qu’un correctif puisse être installé ou devienne disponible.

Apprenez-en davantage sur les vulnérabilités des systèmes industriels lors de la conférence ICS sur la cybersécurité de SecurityWeek et de la série d’événements virtuels Security Summits de SecurityWeek

Forescout a écrit dans son rapport sur les vulnérabilités NAME: WRECK: «Selon le site Web de Nucleus RTOS (qui exécute la pile Nucleus TCP / IP), il est déployé dans plus de 3 milliards d’appareils. Un aperçu de la page de Siemens répertoriant les clients …