Défis de l’élimination de la vulnérabilité Bash dans les systèmes d’automatisation industrielle et SCADA

Alors que les principales inquiétudes soulevées par la vulnérabilité dans Bash concernent principalement les serveurs Web, il se fait que les systèmes intégrés et les systèmes d’automatisation industrielle sont également menacés.

Les experts s’inquiètent de la protection des systèmes d’automatisation industrielle sous Linux et des dispositifs SCADA (Supervisory Control And Data Acquisition, commande et acquisition de données) qui pourraient être vulnérables et sur lesquels l’application des correctifs n’est pas chose aisée.

K. Reid Wightman, directeur de Digital Bond Labs, a déclaré que "certains dispositifs ne sont tout simplement pas prévus pour la modernisation. On produit actuellement de nombreux dispositifs pour système d’automatisation industrielle qui ne possèdent pas de mécanisme de mise à jour des micrologiciels. Certains d’entre eux ne sont plus pris en charge et il se peut que les fabricants ne diffusent pas les correctifs. Les systèmes d’automatisation industrielle et SCADA sont prévus pour fonctionner pendant des dizaines d’années, voire plus, avant d’être mis à jour. De nombreux fabricants interrompent la publication des mises à jour bien avant la fin de ce cycle de 10 ans."

Dans certains cas, l’installation du correctif est compliquée par la nécessité d’arrêter le système, ce qui n’est tout simplement pas possible dans certains cas.

K. Reid Wightman précise que "la mise hors service est un très gros problème. Les correctifs peuvent être appliqués sur ces systèmes d’automatisation industrielle uniquement pendant l’entretien de ceux-ci. Cela se produit une fois par an, voire moins, en fonction du système".

Et comme si cela ne suffisait pas, il faut également tenir compte de la complexité du contexte du bogue détecté. La vulnérabilité dans Bash a été découverte par Stéphanie Chazelas de chez Akamai, et les éditeurs de distributions de Linux ont tout de suite diffusé des correctifs pour limiter les effets du bogue qui pourrait permettre à un individu malintentionné d’écrire un code exécutable dans une variable d’environnement lancée après l’appel Bash. Des messages qui indiquent que les premiers correctifs n’éliminent pas complètement le problème viennent s’ajouter aux déclarations inquiétantes sur la découverte de codes d’exploitation qui pourraient permettre l’intrusion d’un ver ou la création de réseaux de zombies impliqués dans l’organisation d’attaques DDoS.

Outre le fait que les serveurs Apache utilisent des scripts CGI ou certaines installations Git qui fonctionnent sur SSH, l’intepréteur de ligne de commande Bash, d’après Wightman, est très répandus dans les systèmes d’automatisation industrielle et les dispositifs SCADA, ainsi que dans l’équipement intégré.

"De nombreux composants industriels fonctionnent sous Linux et utilisent Bash dans une configuration vulnérable. Les commutateurs réseau industriels, voire certains automates programmables industriels ou unités de terminal à distance, peuvent être touchés par la vulnérabilité

Wightman a cité quelques exemples, dont la gamme de commutateurs de commande de RuggedCom, et celles d’EtherTrak, PLC Wago et RTU Schweitzer Engineering qui fonctionnent sous Linux.

La liste des périphériques potentiellement vulnérables utilisés dans les systèmes d’automatisation industrielle et SCADA est longue" a expliqué K. Reid Wightman.

Bien que la majeure partie des équipes d’automatisation industrielle et SCADA ne doit pas être connectée à Internet, ce qui devrait limiter l’effet de la vulnérabilité dans Bash, les experts signalent que ce n’est pas toujours le cas.

Adam Crain, spécialiste en sécurité et fondateur de la société Automatak, explique que "la vulnérabilité est identique dans IT/OT, toutefois le nombre de périphériques intégrés ‘simples qui utilisent CGI et Bash est disproportionné par rapport aux plateformes Internet plus récentes. Bash est l’interpréteur de ligne de commande le plus souvent utilisé dans les systèmes Linux. Un grand nombre de périphériques intégrés dans les systèmes d’automatisation industrielle et SCADA fonctionne sous Linux. Certains de ces systèmes ne sont pas vulnérables car ils ne contiennent pas les services qui pourraient être utilisés pour exploiter la vulnérabilité dans Bash".

Il est primordial que les ingénieurs analysent leur équipement afin d’identifier les composants qui utilisent Bash. Ici aussi, la situation est loin d’être simple.

Comme l’a déclaré K. Reid Wightman : "Tant que l’utilisateur final ne consacre pas son temps à l’ingénierie inverse de son équipement industriel, il ne sera pas en mesure d’affirmer avec certitude si Bash peut être appelé dans le système et de quelle manière. Nous avons même été confrontés à des cas où l’équipement fonctionne sous GNU/Linux avec Bash, mais les fabricants ne l’ont pas signalé à leur client (ce qui est pourtant une obligation dès qu’un logiciel est utilisé sous la licence GNU)."

Source :        Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *