ClickCease

Rejoignez-nous @Armis Connect

Apprenez en plus
FR | Français
EN | English
DE | Deutsch
IT | Italiano
JA | 日本語
Juil 13, 2023

Crit.IX: 9 vulnérabilités découvertes dans les plateformes Experion® d’Honeywell pour les systèmes de contrôle distribués (DCS)

Présentation générale

Armis et Honeywell ont présenté aujourd’hui « Crit.IX », 9 nouvelles vulnérabilités détectées par les chercheurs d’Armis sur les plateformes DCS Experion® d’Honeywell. Ces vulnérabilités pourraient permettre l’exécution non autorisée de code à distance sur les versions anciennes de serveurs et des contrôleurs Honeywell. Si ces vulnérabilités étaient exploitées, elles permettraient à un attaquant de prendre le contrôle des équipements. Cet attaquant pourrait modifier le fonctionnement du contrôleur DCS, sans que ces modifications apparaissent sur le poste de gestion de ce contrôleur. L’exploitation de ces vulnérabilités ne nécessite aucune authentification, uniquement un accès réseau aux équipements ciblés. Potentiellement, tout actif IT, IoT et OT compromis sur le même réseau que les dispositifs DCS pourrait être mis à profit pour une attaque.

En mai 2022, Armis a confirmé, conjointement à Honeywell, la découverte de 13 problèmes de code détectés sur le contrôleur et sur le serveur Experion C300. Ces problèmes aboutissent à 9 nouvelles vulnérabilités, dont 7 sont jugées critiques. En raison de la gravité de ces vulnérabilités et de leur impact, Honeywell et Armis ont collaboré pour enquêter sur ces résultats, comprendre les problèmes sous-jacents et travailler à l’élaboration de correctifs. Honeywell a mis à disposition des correctifs de sécurité et conseille vivement à tous les clients concernés de les appliquer immédiatement.

Principales conclusions :

  • Nos recherches ont révélé des points faibles dans le protocole CDA, un protocole propriétaire conçu par Honeywell et utilisé pour la communication entre les serveurs Experion et les contrôleurs C300 d’Honeywell. Les mécanismes de cryptage et d’authentification de ce protocole ne sont pas appropriés. Toute personne ayant accès au réseau peut usurper l’identité du contrôleur ou du serveur. Le protocole CDA présente en outre des défauts de conception qui rendent difficile de contrôler les limitations de données et peuvent entraîner des dépassements de la mémoire tampon.
  • Honeywell a également mis en oeuvre sur le serveur Honeywell Experion® un protocole « CDA Data Client Named Access » utilisé pour la communication entre le serveur et les applications Experion® et qui permet d’accéder à ces applications à l’aide de noms définis par le client. La mise en œuvre de ce protocole contient 4 vulnérabilités qui permettent l’exécution de code à distance (RCE pour Remote Code Execution) sur le serveur Experion.
  • Au cours du processus de divulgation, nous avons appris qu’en raison de la réutilisation du code vulnérable pour d’autres produits, ces vulnérabilités affectent également les plateformes LX et PlantCruise d’Honeywell.

Équipements affectés

Les vulnérabilités récemment découvertes affectent toute une variété de produits, sur de multiples versions, sur trois plateformes DCS Experion d’Honeywell. Sur la plateforme Experion Process Knowledge System (EPKS) (Serveur Experion et poste de travail Experion). Sur les plateformes LX et PlantCruise (Station Engineering et Station Direct). Les vulnérabilités affectent également le contrôleur C300 DCS, utilisé sur ces trois plateformes.

Protection de l’infrastructure critique

Au cours de ces dernières années, nous avons constaté une augmentation constante des attaques et des vulnérabilités sur des cibles OT. Cette augmentation met en évidence les risques croissants auxquels sont confrontés les systèmes d’infrastructures critiques.

L’attaque en juin 2022 d’une aciérie iranienne en est un exemple significatif. Cette attaque aurait été menée par le groupe hacktiviste « Predatory Sparrow ». Le groupe a déclaré avoir provoqué un grave incendie dans les installations de l’aciérie. Ils ont même publié une vidéo, qui semble être une séquence de vidéosurveillance. On y voit des employés évacuer une zone de l’usine avant qu’une machine ne commence à projeter des flammes et de l’acier fondu. Cette attaque est significative en raison des dommages physiques qu’elle a provoqués. En effet, la plupart des cyberattaques se produisant généralement dans le domaine du digital.

Le Colonial Pipeline, l’un des plus grands oléoducs des États-Unis a également subi un incident très médiatisé. En mai 2021, ce pipeline a fait l’objet d’une attaque par ransomware qui a perturbé l’approvisionnement en carburant le long de la côte Est. L’attaque a exploité les vulnérabilités du réseau informatique de l’oléoduc, provoquant des perturbations dans son fonctionnement et déclenchant des pénuries de carburant dans plusieurs États. Cet événement a mis en évidence l’interconnexion entre les systèmes IT et OT et souligné la nécessité de mettre en place de solides mesures de cybersécurité pour tous les aspects des infrastructures critiques.

Ces exemples sont un rappel brutal des menaces de plus en plus nombreuses et de l’urgence de renforcer nos méthodes de défenses. Il est vital de mettre en œuvre de robustes mesures de sécurité et de promouvoir la collaboration entre les différentes parties prenantes afin de protéger les systèmes OT critiques contre les attaques et les vulnérabilités potentielles.

Les vulnérabilités présentes sur les systèmes de contrôle industriel (ICS) constituent un risque important pour les infrastructures critiques, notamment les centrales électriques, les sites de production et les raffineries de pétrole. La divulgation responsable de ces vulnérabilités joue un rôle crucial pour assurer la protection des systèmes contre les attaques potentielles et réduire leur impact sur la sécurité publique et la continuité des opérations.

Armis prend cette divulgation responsable très au sérieux et se réjouit de pouvoir travailler avec Honeywell pour aider les organisations potentiellement exposées à se protéger de ces vulnérabilités critiques. 

Divulgation responsable et collaboration

Le livre blanc d’Armis présente le détail des vulnérabilités et la manière dont l’équipe d’Armis les a détectées. Vous pouvez le consulter ici : https://media.armis.com/pdfs/wp-critix-honeywell-experion-vulnerabilities-en.pdf

Atténuation

Honeywell a mis à disposition des correctifs de sécurité et conseille vivement à toutes les organisations concernées de les appliquer immédiatement.

Les clients d’Honeywell peuvent accéder aux correctifs et les appliquer en se connectant à https://process.honeywell.com/ et en effectuant une recherche dans la section des publications techniques. Pour davantage d’informations sur le processus de divulgation des vulnérabilités d’Honeywell, consultez : https://www.honeywell.com/us/en/product-security.

Afin de remédier efficacement aux vulnérabilités signalées, l’application de ces correctifs et de ces mises à jour de microprogramme est prioritaire. Les organisations doivent en outre poursuivre leur engagement en faveur de solides mesures de sécurité. Elles doivent notamment réaliser des évaluations de sécurité de routine, des tests d’intrusion et dispenser à leurs équipes de développement une formation complète sur la sécurité.

Comment Armis peut vous aider

Afin de réduire la surface d’attaque, il est essentiel de développer et de déployer des correctifs éliminant les vulnérabilités présentes sur les contrôleurs et les postes de travail techniques des environnements OT. En raison de leur criticité et de leur impact sur les processus opérationnels, la diffusion et l’installation de correctifs nécessitent un processus d’assurance qualité exhaustif. Elles nécessitent en outre, très probablement, une fenêtre de maintenance et d’interruption, dont la coordination et la réalisation peuvent prendre beaucoup de temps. On peut raisonnablement supposer que les actifs touchés resteront vulnérables pendant une longue période. Des mesures d’atténuation peuvent être mises en place pendant cette période afin de détecter et de prévenir toute attaque contre ces infrastructures critiques.

Les clients d’Armis peuvent utiliser la plateforme Asset Intelligence and Security pour protéger leur réseau de la manière suivante :

  1. 1. Obtenir une visibilité complète des actifs. En obtenant un inventaire précis qui englobe tous les aspects, du matériel au firmware et à la version du logiciel, les entreprises peuvent identifier efficacement les serveurs et contrôleurs vulnérables dans leur environnement.
  2. En mettant en œuvre un programme de gestion des vulnérabilités qui établit des priorités en fonction des risques, les organisations peuvent minimiser efficacement leurs points faibles et réduire le risque d’exploits ciblant des dispositifs sans correctifs disponibles. En outre, l’application rapide des correctifs de sécurité dès leur publication réduira considérablement la fenêtre de vulnérabilité de ces appareils.
  3. Étant donné que les vulnérabilités découvertes ne nécessitent qu’un accès réseau à un dispositif vulnérable, la segmentation du réseau contribuera grandement à empêcher l’exploitation de ces vulnérabilités. En séparant le réseau en segments distincts basés sur les niveaux de sécurité ou les types d’appareils, les organisations peuvent limiter le mouvement latéral des attaquants, contenir efficacement les menaces potentielles et atténuer l’impact sur les appareils vulnérables. L’effort de segmentation dans les environnements OT peut être réalisé à l’aide d’un modèle de référence industriel tel que le modèle Purdue.Ce modèle représente une vue logique ou fonctionnelle des environnements OT et peut être utilisé pour identifier tout écart par rapport aux comportements attendus des actifs OT. En particulier les actifs communiquant au niveau 0 et au niveau 1 à partir d’actifs de niveau supérieur, y compris les actifs dans les réseaux informatiques. La segmentation peut être réalisée en comprenant les comportements de ces actifs afin de ne mettre sur liste blanche que ceux qui sont attendus.
  4. L’expérience a montré que même les réseaux bien protégés sont susceptibles de faire l’objet de brèches. Ainsi, il devient impératif de mettre en œuvre un système robuste de détection des menaces capable d’identifier les tentatives d’exploit couvrant l’ensemble du réseau et englobant tous les appareils, y compris l’IT, l’OT et l’IoT. L’utilisation d’un mélange de techniques de détection, y compris l’analyse basée sur les signatures, la détection des anomalies et les indicateurs de compromission (IOC), ajoute une couche supplémentaire de sécurité, augmentant la posture défensive globale en cas d’attaque.

Communication coordonnée

La découverte et la divulgation des vulnérabilités du contrôleur Experion C300 de Honeywell sont des procédures essentielles pour l’amélioration continue de la cybersécurité industrielle. En signalant de manière responsable les vulnérabilités à des fournisseurs tels qu’Honeywell, les chercheurs en sécurité jouent un rôle vital dans la protection des infrastructures critiques. Ils favorisent en outre la mise en place d’un environnement plus sûr pour les systèmes de contrôle industriels. C’est grâce à des efforts de collaboration et à des pratiques de divulgation coordonnées que nous pouvons améliorer la sécurité des systèmes de contrôle industriels et atténuer les risques.

Le processus de recherche d’Armis

L’équipe d’Armis Research Labs est spécialisée dans l’analyse technique de différents équipements afin d’obtenir des informations complètes sur leurs protocoles et d’évaluer leur posture de cybersécurité. Avec une bonne compréhension d’un protocole, nous pouvons surveiller l’utilisation de l’équipement concerné et y déceler toute anomalie, détecter d’éventuels attaquants, de mauvaises configurations ou des dysfonctionnements.

Pour plus d’informations, veuillez consulter notre landing page, y compris les stratégies d’atténuation.

Discussion complémentaire à venir

Armis approfondira les discussions sur ces vulnérabilités au cours des prochaines semaines et des prochains mois.

Lors de la conférence Black Hat U.S., Carlos Buenano, Principal Solutions Architect OT d’Armis, présentera ces résultats au cours de sa session, « Securing critical infrastructure (vulnerability disclosure) with Armis. » Cette session de 50 minutes aura lieu le mercredi 9 août 2023 de 15h à 15h50 au Mandalay Bay à Las Vegas. Pour plus d’informations, veuillez consulter : https://www.blackhat.com/us-23/sponsored-sessions/schedule/index.html#securing-critical-infrastructure-vulnerability-disclosure-with-armis-34229

Carlos et moi présenterons conjointement un webinaire sur ces vulnérabilités Ce webinaire aura lieu le mercredi 6 septembre à 11 heures (Heure d’Europe centrale). Inscrivez-vous ici : https://event.on24.com/wcc/r/4279011/6F70E4737D9E7789C3C9B69953F6307A?partnerref=blog

Obtenir des mises à jour

S’inscrire pour recevoir les nouveautés d’Armis