Les experts de Claroty, spécialiste de cybersécurité industrielle, ont découvert cinq vulnérabilités dans la pile (stack) de protocoles open source OpENer, très populaire parmi les principaux fournisseurs de systèmes industriels, SCADA.
OpENEr implémente le protocole EtherNet/IP (le protocole standard pour la communication dans les réseaux industriels) et le protocole industriel commun (CIP pour Common Industrial Protocol) qui fonctionnent dans de nombreux produits commerciaux utilisés dans le domaine industriel.
En fonction de l’architecture du dispositif ciblé, une exploitation réussie pourrait entraîner des attaques par déni de services ou l’exécution de code à distance. Pour exploiter ces vulnérabilités, il suffit à un attaquant d’envoyer des paquets ENIP/CIP modifiés au dispositif.
« Les recherches de Claroty sur la pile OpENer ont révélé cinq vulnérabilités qui, selon l’architecture du périphérique ciblé, pourraient entraîner des conditions de déni de service, des fuites de mémoire de la pile et l’exécution de code à distance. Un attaquant n’aurait besoin que d’envoyer des paquets ENIP / CIP spécialement conçus au périphérique afin d’exploiter ces vulnérabilités« , indique deux experts de Claroty, Tal Keren et Sharon Brizinov, dans un billet de blog, qui détaille les aspects techniques de ces failles, dont les scores de risque/CVSS vont de 7,5 à 9,8.
L’une des vulnérabilités signalées en privé par Claroty à EIPStackGroup a également été révélée par Cisco Talos (CVE-2020-13556) et signalée publiquement le 2 décembre 2020. Les 4 autres (CVE-2021-27478, CVE-2021-27482, CVE-2021-27500 et CVE-2021-27498) ont été indiquées à EIPStackGroup, les mainteneurs de la pile OpENer, en octobre 2020. Les versions d’OpENer antérieures au 10 février 2021 sont affectées.
Il n’y a pas d’exploits publics connus qui ciblent ces vulnérabilités, mais il est recommandé de faire les mises à jour nécesaires.
