Siemens a récemment corrigé de nombreuses vulnérabilités affectant son dispositif d'automatisation A8000. Ces vulnérabilités comprenaient même une faille d'exécution de code de gravité critique qui pourrait permettre des attaques à distance de la part d'un adversaire non authentifié.
Vulnérabilités des appareils d'automatisation de Siemens
Les chercheurs de SEC Consult ont partagé un avis détaillé mettant en évidence de nombreuses vulnérabilités qu'ils ont trouvées dans l'appareil automatique Siemens A8000.
Le Siemens A8000 est un dispositif modulaire de télécontrôle et d'automatisation pour les zones d'approvisionnement en énergie, qui prend en charge un large éventail d'applications. L'appareil facilite l'optimisation du réseau tout en répondant aux besoins en matière de cybersécurité, de communication et d'ingénierie.
L'application généralisée de ce dispositif indique comment une faille de sécurité, si elle est exploitée, peut menacer l'alimentation électrique avec un effet de cascade.
Les chercheurs de SEC Consult ont trouvé quatre vulnérabilités différentes affectant les automates programmables Siemens A8000 CP-8050 et CP-8031.
La première d'entre elles est une faille d'exécution de code à distance de gravité critique CVE-2023-28489 (CVSS 9.8). Un attaquant non authentifié peut exploiter cette faille en envoyant des requêtes HTTP malicieusement conçues au port 80/443 de l'automate.
Ensuite, l'autre vulnérabilité importante est une faille d'injection de commande de haute sévérité (CVE-2023-33919 ; CVSS 7,2) qui existait en raison de l'assainissement des entrées côté serveur. Un adversaire authentifié pourrait exécuter des commandes arbitraires sur l'automate cible avec les privilèges de root.
Les deux autres vulnérabilités sont des problèmes de gravité moyenne, atteignant chacune un score CVSS de 6,8. Il s'agit de CVE-2023-33920, qui existait en raison d'un mot de passe root codé en dur, et de CVE-2023-33921, qui exposait l'interface UART à un attaquant ayant un accès physique à la carte de circuit imprimé. Un adversaire peut enchaîner CVE-2023-33920 et CVE-2023-33921 pour obtenir un accès root à l'interface UART.
Siemens a publié des correctifs avec des mises à jour du micrologiciel.
Les chercheurs ont découvert ces vulnérabilités affectant le Siemens A8000 CP-8050 04.92 et le Siemens A8000 CP-8031 04.92. Après avoir découvert les failles en mars 2023, les chercheurs ont divulgué de manière responsable les bogues à Siemens, à la suite de quoi les fournisseurs ont commencé à travailler sur un correctif.
Étant donné la nature critique de CVE-2023-28489, les chercheurs et les fournisseurs se sont mis d'accord pour procéder d'abord à sa divulgation et à sa correction, en réglant le problème d'ici avril 2023. Ensuite, Siemens a publié les correctifs pour les trois autres vulnérabilités en juin. Enfin, SEC Consult a partagé publiquement les détails et les PoC pour les quatre failles dans son avis.
Pour recevoir les correctifs, les utilisateurs doivent s'assurer de mettre à jour les appareils avec la version CPCI85 V05 ou une version plus récente.
Fais-nous part de tes réflexions dans les commentaires.
