Ce n'est pas le premier et ce ne sera pas le dernier. GarretCom est une société californienne qui produit des routeurs et des commutateurs spécialement développés pour opérer en environnement industriel et critique. Un chercheur en sécurité indépendant a découvert la présence d'un compte "usine" par défaut associé à un mot de passe en dur (1). L'utilisation malveillante de ce compte pourrait permettre une escalade des privilèges jusqu'au niveau administrateur ! Une compromission de ce type aurait donc des impacts potentiels en termes de disponibilité, d'intégrité et de confidentialité.
L'exploitation d'une telle "vulnérabilité" (2) faciliterait grandement une cyberattaque, même par un attaquant de faible niveau, sans présager des impacts réels puisque qu'ils dépendraient également du contexte, de l'environnement opérationnel et de l'architecture générale (3). La modification des paramètres de l'équipement ou la possibilité de générer un DoS est cependant plausible.
Ce qui retient ici l'attention, c'est que GarretCom a corrigé le problème en mai 2012 sans documenter la nouvelle mise à jour logicielle. Un "oubli" que l'ICS-CERT n'a semble-t-il pas goûté puisqu'il a publié un advisory la semaine dernière, suite à la découverte par le chercheur en sécurité. Un moyen un peu fort d'informer les nombreux opérateurs d'usines, de raffineries ou autres centrales de production d'électricité qui utilisent les équipements GarretCom (et qui ne sont peut-être pas avertis du problème) qu'il serait peut-être temps de se préoccuper du problème (4). Manière également de rappeler à GarretCom qu'il leur reste encore du travail à moins qu'il ne s'agisse d'une sorte de trait d'humour?
Edit : on lira avec intérêt cet "état des lieux de la sécurité industrielle".
Edit : on lira avec intérêt cet "état des lieux de la sécurité industrielle".
(1) écrit directement dans le code soit une véritable hérésie du point de vue cybersécurité !
(2) "connerie" serait probablement plus approprié
(3) difficile de ne pas frémir si l'on imagine un complexe industriel équipé de commutateurs Garretcom relié à d'autres sites par des routeurs GarretCom
(4) rappelons qu'on ne déploie pas de correctif ou qu'on n'installe pas de mise à jour sur des systèmes industriels et/ou critiques sans qualification préalable : tests de non-régression, tests fonctionnels, etc.
Aucun commentaire:
Enregistrer un commentaire