Infos

Défis de l’élimination de la vulnérabilité Bash dans les systèmes d’automatisation industrielle et SCADA

Alors que les principales inquiétudes soulevées par la vulnérabilité dans Bash concernent principalement les serveurs Web, il se fait que les systèmes intégrés et les systèmes d’automatisation industrielle sont également menacés.

Les experts s’inquiètent de la protection des systèmes d’automatisation industrielle sous Linux et des dispositifs SCADA (Supervisory Control And Data Acquisition, commande et acquisition de données) qui pourraient être vulnérables et sur lesquels l’application des correctifs n’est pas chose aisée.

K. Reid Wightman, directeur de Digital Bond Labs, a déclaré que "certains dispositifs ne sont tout simplement pas prévus pour la modernisation. On produit actuellement de nombreux dispositifs pour système d’automatisation industrielle qui ne possèdent pas de mécanisme de mise à jour des micrologiciels. Certains d’entre eux ne sont plus pris en charge et il se peut que les fabricants ne diffusent pas les correctifs. Les systèmes d’automatisation industrielle et SCADA sont prévus pour fonctionner pendant des dizaines d’années, voire plus, avant d’être mis à jour. De nombreux fabricants interrompent la publication des mises à jour bien avant la fin de ce cycle de 10 ans."

Dans certains cas, l’installation du correctif est compliquée par la nécessité d’arrêter le système, ce qui n’est tout simplement pas possible dans certains cas.

K. Reid Wightman précise que "la mise hors service est un très gros problème. Les correctifs peuvent être appliqués sur ces systèmes d’automatisation industrielle uniquement pendant l’entretien de ceux-ci. Cela se produit une fois par an, voire moins, en fonction du système".

Et comme si cela ne suffisait pas, il faut également tenir compte de la complexité du contexte du bogue détecté. La vulnérabilité dans Bash a été découverte par Stéphanie Chazelas de chez Akamai, et les éditeurs de distributions de Linux ont tout de suite diffusé des correctifs pour limiter les effets du bogue qui pourrait permettre à un individu malintentionné d’écrire un code exécutable dans une variable d’environnement lancée après l’appel Bash. Des messages qui indiquent que les premiers correctifs n’éliminent pas complètement le problème viennent s’ajouter aux déclarations inquiétantes sur la découverte de codes d’exploitation qui pourraient permettre l’intrusion d’un ver ou la création de réseaux de zombies impliqués dans l’organisation d’attaques DDoS.

Outre le fait que les serveurs Apache utilisent des scripts CGI ou certaines installations Git qui fonctionnent sur SSH, l’intepréteur de ligne de commande Bash, d’après Wightman, est très répandus dans les systèmes d’automatisation industrielle et les dispositifs SCADA, ainsi que dans l’équipement intégré.

"De nombreux composants industriels fonctionnent sous Linux et utilisent Bash dans une configuration vulnérable. Les commutateurs réseau industriels, voire certains automates programmables industriels ou unités de terminal à distance, peuvent être touchés par la vulnérabilité

Wightman a cité quelques exemples, dont la gamme de commutateurs de commande de RuggedCom, et celles d’EtherTrak, PLC Wago et RTU Schweitzer Engineering qui fonctionnent sous Linux.

La liste des périphériques potentiellement vulnérables utilisés dans les systèmes d’automatisation industrielle et SCADA est longue" a expliqué K. Reid Wightman.

Bien que la majeure partie des équipes d’automatisation industrielle et SCADA ne doit pas être connectée à Internet, ce qui devrait limiter l’effet de la vulnérabilité dans Bash, les experts signalent que ce n’est pas toujours le cas.

Adam Crain, spécialiste en sécurité et fondateur de la société Automatak, explique que "la vulnérabilité est identique dans IT/OT, toutefois le nombre de périphériques intégrés ‘simples qui utilisent CGI et Bash est disproportionné par rapport aux plateformes Internet plus récentes. Bash est l’interpréteur de ligne de commande le plus souvent utilisé dans les systèmes Linux. Un grand nombre de périphériques intégrés dans les systèmes d’automatisation industrielle et SCADA fonctionne sous Linux. Certains de ces systèmes ne sont pas vulnérables car ils ne contiennent pas les services qui pourraient être utilisés pour exploiter la vulnérabilité dans Bash".

Il est primordial que les ingénieurs analysent leur équipement afin d’identifier les composants qui utilisent Bash. Ici aussi, la situation est loin d’être simple.

Comme l’a déclaré K. Reid Wightman : "Tant que l’utilisateur final ne consacre pas son temps à l’ingénierie inverse de son équipement industriel, il ne sera pas en mesure d’affirmer avec certitude si Bash peut être appelé dans le système et de quelle manière. Nous avons même été confrontés à des cas où l’équipement fonctionne sous GNU/Linux avec Bash, mais les fabricants ne l’ont pas signalé à leur client (ce qui est pourtant une obligation dès qu’un logiciel est utilisé sous la licence GNU)."

Source :        Threatpost

Défis de l’élimination de la vulnérabilité Bash dans les systèmes d’automatisation industrielle et SCADA

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception