Selon les chercheurs, une vulnérabilité potentiellement grave affectant les contrôleurs CompactRIO fabriqués par NI (National Instruments) pourrait permettre à des pirates de perturber à distance les processus de production dans une organisation.

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié la semaine dernière un avis ICS-CERT pour informer les organisations d’une vulnérabilité de haute gravité affectant le produit CompactRIO de NI, un contrôleur en temps réel robuste utilisé dans des environnements industriels dans des secteurs tels que l’équipement lourd, fabrication industrielle, transport, production d’électricité et pétrole et gaz.

Selon CISA, la vulnérabilité, identifiée par les chercheurs de la société espagnole de cybersécurité industrielle Titanium Industrial Security, est liée à «des autorisations incorrectes définies par défaut pour un point d’entrée API d’un service spécifique». Un attaquant distant et non authentifié peut exploiter la faille pour déclencher une fonction qui peut provoquer le redémarrage de l’appareil.

La faille de sécurité, suivie comme CVE-2020-25191, a été corrigée par NI et l’avis CISA contient des instructions sur la façon de déployer le correctif, mais il convient de noter qu’une partie du processus de correction doit être répétée pour chacun des CompactRIO concernés. contrôleurs.

«Nous sommes conscients du problème et avons pris des mesures immédiates pour remédier à la vulnérabilité des versions récentes du pilote CompactRio de NI», a déclaré un porte-parole de NI dans un communiqué envoyé par courrier électronique. «Nous n’avons connaissance d’aucun incident où cette vulnérabilité potentielle a été exploitée, mais nous avons recommandé des mesures d’atténuation dans le cadre de la divulgation déposée auprès de CISA. Le maintien de la sûreté et de la sécurité de tous les produits NI reste notre priorité absolue. »

En savoir plus sur les vulnérabilités des produits industriels lors de la conférence ICS sur la cybersécurité de SecurityWeek et de la série d’événements virtuels Security Summits de SecurityWeek

Borja Lanseros, PDG de Titanium Industrial …