Après été informé, Honeywell a corrigé ces vulnérabilités et publié un avis à destination de ses clients. Les utilisateurs sont donc invités à mettre à jour ou à appliquer un correctif dès que possible.

Le CERT-ICS de Claroty a attribué à l’ensemble des vulnérabilités détectées une note de 10 soit le score CVSS le plus élevé en termes de criticité.

Cette vulnérabilité est importante pour plusieurs raisons :
o Elles pourraient permettre à un attaquant de modifier une bibliothèque de composants de contrôle (CCL) et de la charger dans un contrôleur, qui exécuterait alors un code malveillant. Des attaques par déni de service sont également possibles.
o Ces vulnérabilités affectent toutes les versions des contrôleurs et simulateurs C200, C200E, C300 et ACE.
o Un attaquant pourrait utiliser ces vulnérabilités pour exécuter du code natif sur le système, modifier les valeurs du processus ou perturber les processus critiques.

Pour en savoir plus, Claroty a publié un blog post complet sur le sujet : https://www.claroty.com/2021/10/05/blog-research-target-dcs-finding-fixing-critical-bugs-in-honeywell-experion-pks/

Dans son rapport sur la sécurité des systèmes industriels portant sur le 1er semestre 2021 (publié en septembre 2021), Claroty faisait état d’une augmentation de 41% des vulnérabilités dans les systèmes industriels au 1er semestre 2021 soit 637 vulnérabilités rendues publiques par rapport au 449 rapportées au second semestre 2020.

Les principaux enseignements du rapport :

• Le nombre de vulnérabilités ICS signalées est en forte hausse. Un constat qui met en lumière l’ampleur des failles de sécurité que l’on commence tout juste à découvrir au sein des environnements de technologies opérationnelles (OT). 637 vulnérabilités ICS ont été rendues publiques au premier semestre 2021, soit une augmentation de 41 % par rapport aux 449 vulnérabilités rapportées au second semestre 2020. 81 % d’entre elles ont été identifiées par des sources externes aux entreprises concernées, notamment des sociétés tierces, des chercheurs indépendants, des universitaires et d’autres groupes de recherche. 42 nouveaux chercheurs ont en outre fait état de vulnérabilités.

• 71 % des vulnérabilités sont classées en niveau de gravité élevé ou critique. Cela en dit long sur la dangerosité des expositions et leur impact potentiel sur les opérations.

• 90 % présentent une faible complexité d’attaque. Elles ne nécessitent donc pas de conditions particulières et un cybercriminel a de fortes chances de parvenir systématiquement à ses fins.

• 74 % ne requièrent pas de privilèges, ce qui signifie que le cybercriminel ne dispose pas d’autorisations et n’a pas besoin d’accéder aux paramètres ni aux fichiers, et 66 % n’exigent pas d’intervention de l’utilisateur, comme ouvrir un e-mail, cliquer sur des liens ou des pièces jointes, ou partager des informations personnelles ou financières sensibles.

• 61 % sont exploitables à distance, d’où l’importance de sécuriser les connexions à distance, de même que les appareils IoT (Internet des objets) et IIoT (IoT industriel).

• 65 % peuvent entraîner une perte totale de disponibilité et, par conséquent, l’impossibilité d’accéder aux ressources.

• Pour 26 %, aucun correctif n’est disponible ou seulement une solution partielle. C’est l’une des principales difficultés de la sécurité des environnements OT par rapport aux environnements informatiques.

• Les principales mesures d’atténuation indiquées dans les alertes de l’ICS-CERT et les conseils des fournisseurs comprennent la segmentation du réseau (applicable à 59 % des vulnérabilités), l’accès à distance sécurisé (53 %), ainsi que la protection contre les ransomwares, le phishing et les spams (33 %).

• Avec 70 vulnérabilités signalées au 1er semestre 2021, et plus de 150 à ce jour, toutes présentées dans le tableau de bord des vulnérabilités de Team82, l’équipe Team82 de Claroty reste le leader du marché de la recherche sur les vulnérabilités ICS.