Les vulnérabilités des logiciels IIoT alimentent à nouveau les attaques d'infrastructures critiques

En août 2021, Forescout Research Labs et JFrog Security Research ont identifié 14 vulnérabilités affectant la pile TCP/IP NicheStack, que les organisations ont surnommée INFRA:HALT.

Les piles TCP/IP permettent aux fournisseurs de mettre en œuvre des communications réseau de base pour les systèmes connectés sur IP, y compris les appareils informatiques, de technologie opérationnelle (OT) et d'Internet des objets industriels (IoT).

En effet, NicheStack est présent dans une myriade d'appareils OT qui sont couramment utilisés dans plusieurs secteurs d'infrastructure critiques, tels que les usines de fabrication, le traitement de l'eau, la production d'électricité et plus encore.

Les nouvelles vulnérabilités permettent l'exécution de code à distance, le déni de service, la fuite d'informations, l'usurpation TCP ou l'empoisonnement du cache DNS.

Les attaques d'infrastructures critiques révèlent les points faibles du SCI

Les vulnérabilités découvertes mettent en lumière le risque pour les systèmes d'infrastructure critiques s'ils sont compromis par des acteurs malveillants. Ces systèmes sont vieillissants et vulnérables, ont déclaré des experts.

"C'est... un exemple malheureux de l'énorme vulnérabilité d'une infrastructure vieillissante qui a été connectée, directement ou indirectement, à Internet", a déclaré Curtis Simpson, RSSI chez Armis dans un article récent sur l'augmentation des attaques contre les infrastructures critiques.

Brian Kim de Forrester Research a déclaré que les organisations d'infrastructures critiques doivent se concentrer sur l'identification des appareils OT vulnérables au sein de leur parc, puis se concentrer sur la création d'une stratégie de confiance zéro, en utilisant le moindre privilège et la segmentation du réseau pour empêcher les acteurs malveillants d'accéder aux systèmes critiques.

"L'un des meilleurs moyens de réduire l'impact d'une violation est une stratégie de confiance zéro en limitant les communications de ces ICS [systèmes de contrôle industriels]", a déclaré Kime. "Nous pouvons créer une liste d'autorisation qui autorise uniquement les communications avec les systèmes de contrôle qui exécutent un processus – permettant le moindre privilège pour les connexions réseau… est une bonne pratique. Et idéalement, nous devrions avoir une barrière entre l'IT et l'OT et segmenter chaque installation pour avoir son propre réseau.

Les équipes de recherche JFrog et Forescout présenteront un webinaire le 19 août pour fournir des informations supplémentaires sur la façon dont ces vulnérabilités ont été identifiées et comment elles peuvent être atténuées.

Attaques d'infrastructures critiques en hausse

L'année dernière, il y a eu quelque 65 000 attaques de ransomware, selon Recorded Future, une société de cybersécurité basée à Boston.

Les cyberattaques sur les infrastructures critiques présentent certains avantages du point de vue des attaquants, même si l'objectif des attaquants n'est pas un gain.

Premièrement, les attaquants malveillants peuvent accéder facilement à ces appareils vulnérables, car les appareils OT peuvent être plus anciens et ne pas disposer des protocoles de sécurité des technologies plus récentes. Deuxièmement, une fois que les opérations critiques sont affectées, cela peut arrêter les opérations. Les organisations concernées sont fortement incitées à payer les demandes de ransomware juste pour reprendre les opérations.

"La nature de ces vulnérabilités pourrait conduire à un risque accru et exposer les infrastructures critiques nationales à un moment où l'industrie constate une augmentation des attaques OT contre les services publics mondiaux, les opérateurs d'oléoducs et de gazoducs ainsi que les soins de santé et la chaîne d'approvisionnement", a écrit Forescout. Research Labs dans une annonce concernant les vulnérabilités.

Troisièmement, l'accès aux appareils OT peut toujours fournir une entrée à d'autres systèmes au sein des organisations.

"Une fois accessible, la pile devient un point d'entrée vulnérable pour propager des logiciels malveillants infectieux sur les réseaux informatiques", ont poursuivi les chercheurs.

Kime a noté que des attaques comme celle récente sur Colonial Pipeline ont révélé que les systèmes d'infrastructure critiques sont interconnectés, créant la possibilité d'effets d'entraînement au sein de ces systèmes, puis tout au long de la chaîne jusqu'aux systèmes informatiques.

"Un événement comme Colonial Pipeline a révélé qu'il s'agit davantage de systèmes de systèmes que de secteurs indépendants et isolés qui opèrent dans leur propre petit monde", a déclaré Kime.

En fin de compte, a noté Kime, les opérateurs d'infrastructures critiques doivent changer de perspective pour permettre une protection plus complète de l'infrastructure critique qu'ils gèrent.

« Les infrastructures critiques devraient mettre fortement l'accent non seulement sur la sécurité, mais aussi sur la résilience », a-t-il déclaré.