La correction des failles dans les environnements industriels a toujours été un défi en raison de problèmes d'interopérabilité, d'exigences strictes en matière de disponibilité et parfois de l'âge des terminaux. Selon une analyse récente, un tiers des vulnérabilités n'ont même pas de correctifs disponibles. Selon une analyse de SynSaber, une société de sécurité spécialisée dans la surveillance des actifs industriels et des réseaux, compter simplement les vulnérabilités sans examiner leur impact et leur probabilité d'exploitation est loin d'être une manière appropriée d'évaluer les risques, mais la tendance peut être inquiétante à un moment où le nombre d'attaques contre les opérateurs d'équipements industriels dans divers secteurs est en augmentation.

En comparaison, le nombre de failles ICS non corrigées au cours du premier semestre de l'année était de 13 % sur un nombre bien inférieur de 681. « Même s'il existe un correctif logiciel ou micrologiciel disponible, les propriétaires d'actifs sont toujours confrontés à un certain nombre de contraintes », ont averti les chercheurs de SynSaber dans leur rapport. « On ne peut pas simplement patcher un ICS. Les fabricants d'équipement d'origine (OEM) ont souvent des processus de test, d'approbation et d'installation de patchs stricts qui retardent les mises à jour. Les opérateurs doivent tenir compte des restrictions d'interopérabilité et de garantie pour les changements à l'échelle de l'environnement en plus d'attendre la prochaine maintenance de cycle ».

Tous les défauts ICS ne sont pas égaux

Les vulnérabilités peuvent différer à bien des égards en plus d'avoir simplement des scores de criticité différents et un impact différent sur différents environnements. Par exemple, les vulnérabilités de corruption de mémoire telles que les écritures out of bounds peuvent entraîner l'exécution de code arbitraire ou des plantages d'application (déni de service). Le premier est évidemment plus grave en général, mais dans un contexte ICS où les appareils sont utilisés pour superviser et exécuter des processus physiques critiques, le déni de service peut avoir des implications plus graves que dans les environnements informatiques typiques. Selon un dernier article de la société de sécurité ICS et IoT Nozomi Networks, les écritures et les lectures hors limites étaient les faiblesses les plus courantes (CWE) associées aux CVE dans les avis CISA entre juillet et décembre 2022. En voici les principales :

- Validation d'entrée incorrecte (CWE-20) ;
- Contrôle d'accès inapproprié (CWE-284) ;
- Limitation incorrecte d'un nom de chemin à un répertoire restreint également connu sous le nom de traversée de chemin (CWE-22) ;
- Authentification manquante pour la fonction critique (CWE-306) ;
- Neutralisation incorrecte des entrées lors de la génération de pages Web, également appelée script intersite (CWE-79) ;
- Utilisation d'informations d'identification codées en dur (CWE-798) ;
- Débordement de tampon basé sur la pile (CWE-121) ;
- Neutralisation incorrecte d'éléments spéciaux utilisés dans une commande SQL - a.k.a. Injection SQL (CWE-89).

Les avis CISA ont concerné 184 produits uniques de 70 fournisseurs différents, les secteurs les plus touchés étant la fabrication critique, l'énergie, les systèmes d'eau, les soins de santé et les transports. De plus, environ les deux tiers (69 %) des vulnérabilités ICS divulguées au cours du second semestre 2022 étaient élevées (58 %) ou critiques (13 %), selon leurs scores CVSS. La bonne nouvelle est que la probabilité qu'une vulnérabilité soit exploitée dans les environnements ICS diffère de celle de l'informatique d'entreprise en raison de facteurs tels que l'accessibilité du réseau et l'interaction de l'utilisateur. Les environnements et les terminaux OT (technologie opérationnelle) devraient avoir une meilleure segmentation et être séparés des réseaux informatiques avec des contrôles d'accès stricts, donc au moins en théorie, il devrait être plus difficile pour les attaquants d'atteindre ces appareils si les meilleures pratiques sont suivies.

Des failles de protocoles mettant à risque toute l'architecture

Selon l'analyse de SynSaber, 104 CVE (11 %) nécessitaient à la fois un réseau local ou un accès physique au terminal à exploiter, ainsi qu'une interaction de l'utilisateur. 25 % supplémentaires avaient besoin d'une interaction de l'utilisateur, quelle que soit la disponibilité du réseau. Des exemples de telles vulnérabilités sont celles qui impliquent le stockage en clair d'un mot de passe (CWE-798) ou le script intersite (CWE-79). « Dans cet exemple, l'attaquant doit avoir un accès physique à l'appareil et être capable d'interagir avec la mémoire flash du système afin d'accéder aux mots de passe en clair », ont déclaré les chercheurs de SynSaber. « Il est possible qu'un attaquant puisse acquérir ou voler un appareil, extraire des mots de passe de la mémoire flash, puis réutiliser ces informations d'identification pour une attaque. Ces chaînes d'événements nécessitent un accès physique et logique ainsi que d'autres mises en garde ». De plus, l'emplacement de la vulnérabilité à l'intérieur de la pile est important car il influencera le niveau de correctif requis. Par exemple, les failles des applications qui s'exécutent sur un appareil sont plus faciles à corriger car elles ne peuvent nécessiter qu'une mise à jour logicielle. D'autres qui sont plus profonds dans les composants du système d'exploitation peuvent nécessiter une mise à jour du micrologiciel qui nécessite la mise hors ligne de tous les appareils concernés. Cela pourrait s'avérer problématique pour de nombreuses raisons : les appareils sont déployés sur le terrain dans des endroits éloignés et difficiles d'accès, les terminaux ne peuvent pas être mis hors ligne, sauf pendant les périodes de maintenance planifiées, etc. Ensuite, il existe des vulnérabilités de protocole, qui pourraient avoir un impact sur une architecture entière et pourraient nécessiter la mise à niveau de plusieurs appareils et des systèmes associés pour maintenir l'interopérabilité.

« Un nombre important d'appareils industriels ne peuvent être mis à jour que via un flash d'image de micrologiciel qui peut contenir des modifications de fonctionnalité en plus de remédier à la sécurité, sans parler du risque de bloquer un appareil pendant le processus », ont déclaré les chercheurs de SynSaber. Selon l'éditeur, 63 % des failles du S2 2022 nécessitaient un correctif logiciel, 33 % des mises à jour du firmware et 4 % des actualisation du protocole. L'incidence des défauts de micrologiciel et de protocole était plus faible qu'au premier semestre, mais dans l'ensemble, environ 35 % des CVE n'avaient aucun correctif disponible auprès du fournisseur et beaucoup d'entre eux pourraient rester indéfiniment parce que les produits ne sont plus pris en charge ou que le fournisseur ne le fait pas.

SecurityScorecard, une société spécialisée dans l'évaluation des postures de cybersécurité, a analysé toutes les organisations de fabrication critiques incluses dans la liste Global 2000 Forbes et a constaté que 48 % d'entre elles avaient une note de F, D ou C selon ses critères de notation. En particulier, la Patching Cadence, l'un des facteurs suivis par l'entreprise, a vu une chute de 88 (note B) à 76 (note C) pour le secteur manufacturier critique de 2021 à 2022. « Le facteur Patching Cadence analyse le nombre d'actifs obsolètes d'une entreprise et la vitesse à laquelle les organisations corrigent et appliquent les correctifs par rapport à leurs pairs », a déclaré l'équipe SecurityScorecard dans son rapport. « Cette baisse est probablement due à un volume accru de vulnérabilités. Les infrastructures critiques des manufacturiers ont connu une augmentation de 38% d'une année sur l'autre des vulnérabilités élevées ».

 Un pic de menaces hybrides contre les ICS

Les environnements ICS étaient principalement la cible de groupes de cyber-espionnage ou de cyber-sabotage, souvent associés aux Etats et à leurs agences de renseignement. Cependant, les groupes traditionnels de cybercriminalité tels que les gangs de rançongiciels et les hacktivistes ciblent également de plus en plus les infrastructures industrielles critiques et de soins de santé, ce qui pourrait entraîner des perturbations dans les équipements. En juin, un groupe hacktiviste surnommé Gonjeshke Darande a provoqué des perturbations de la chaîne de production de trois entreprises sidérurgiques iraniennes. Au début de l'année dernière, le même groupe a utilisé des logiciels malveillants d'effacement contre le système ferroviaire iranien. Le groupe de rançongiciels BlackCat était à l'origine d'une attaque contre la société publique italienne de services énergétiques GSE ainsi que le fournisseur d'énergie colombien EPM.

Une cyberattaque à motivation économique contre Supeo, un fournisseur de solutions de gestion d'équipements pour les compagnies ferroviaires, a provoqué des perturbations dans les horaires des trains au Danemark. Le rançongiciel Hive a frappé Tata Power, la plus grande compagnie d'électricité indienne, et le gang LockBit a frappé Continental, un géant de la technologie automobile et ferroviaire. « Au cours des six derniers mois, nous avons vu des cyberattaques sur des infrastructures critiques affectant des secteurs allant des transports aux soins de santé », ont déclaré des chercheurs de Nozomi Networks. « Les attaques continues contre les chemins de fer ont donné lieu à des directives pour aider les opérateurs ferroviaires à sécuriser leurs actifs. Les hacktivistes ont choisi d'utiliser des logiciels malveillants d'effacement pour lancer des attaques perturbatrices sur des infrastructures critiques, afin de renforcer leur position politique dans la guerre Russie/Ukraine ».

De plus, les frontières entre APT et les attaques de cybercriminalité se sont estompées, les acteurs des États-nations adoptant des techniques destructrices de type ransomware et les cybercriminels adoptant des tactiques de persistance et de furtivité des États-nations. La semaine dernière, les membres du groupe hacktiviste GhostSec se sont vantés d'avoir réussi à chiffrer un RTU (Remote Terminal Unit), même s'il s'agissait d'un routeur 3G avec des capacités de communication série qui relèveraient davantage de la catégorie « passerelle de communication ». Dans l'espace ICS, les RTU sont des systèmes programmables spécialisés qui relient les dispositifs ICS de terrain aux systèmes SCADA (contrôle de supervision et acquisition de données). Sur la base de la télémétrie anonymisée collectée par Nozomi Networks à partir des environnements ICS des clients, les types d'alertes d'intrusion les plus courants observés étaient les mots de passe en texte clair et les mots de passe faibles, suivis des correspondances de règles de paquets suspectes, du cryptage faible, de l'inondation TCP SYN et des paquets réseau malformés. Tous ces vecteurs pourraient être utilisés pour exploiter différents types de vulnérabilités. En termes de logiciels malveillants observés dans les environnements OT, les types les plus courants étaient les RAT (chevaux de Troie d'accès à distance) avec 3 392 alertes de détection. Selon SecurityScorecard, 37 % des entreprises manufacturières critiques ont été infectées par des logiciels malveillants en 2022, une augmentation par rapport à 2021. « Le secteur manufacturier critique se distingue comme un secteur qui a encore un long chemin à parcourir en termes de cyber-résilience », a déclaré la société. « Telle que définie par la CISA, ce secteur comprend la fabrication de métaux primaires, la fabrication de machines, la réalisation d'équipements électriques, de terminaux et de composants et la création de matériel de transport ».