Le CISA, l’agence de cybersécurité américaine, a publié un avis ce mardi sur des vulnérabilités critiques dans Honeywell Experion Process Knowledge System (PKS), un système de contrôle distribué (DCS). Ses capacités permettent la surveillance et le contrôle des processus industriels. En cas d’exploitation, les conséquences pourraient être l’exécution de code à distance et les attaques par déni de service.
Ces vulnérabilités critiques ont été découvertes et annoncées par l’équipe de recherches Team 82 de la société de cybersécurité Claroty. L’ensemble des vulnérabilités détectées, CVE-2021-38397, CVE-2021-38395 et CVE-2021-38399, a une note de 10, soit le score CVSS le plus élevé en termes de criticité. Ces failles sont liées aux versions Honeywell Experion Process Knowledge System C200, C200E, C300, ainsi qu’aux contrôleurs ACE.
L’équipe de recherches explique que dans le cas d’Experion PKS, elle a découvert qu’il était possible « d’imiter la procédure de code de téléchargement et d’utiliser ces requêtes pour télécharger des fichiers DLL/ELF arbitraires (pour les simulateurs et les contrôleurs, respectivement). L’appareil charge ensuite les exécutables sans effectuer de vérifications ni de nettoyage, donnant à un attaquant la possibilité de télécharger des exécutables et d’exécuter du code natif non autorisé à distance sans authentification. »
Dans son rapport sur la sécurité des systèmes industriels portant sur le 1er semestre 2021, Claroty fait état d’une augmentation de 41 % des vulnérabilités dans les systèmes industriels soit 637 vulnérabilités rendues publiques par rapport aux 449 du second semestre 2020. 71 % de ces vulnérabilités ont un niveau de gravité élevé ou critique. Et 90 % sont facilement exploitables par les cybercriminels.
Honeywell a corrigé ces vulnérabilités et publié un avis à destination de ses clients, qui doivent faire une mise à jour ou appliquer un correctif dès que possible.
