Actu
Armis : Siemens S7-1500, commentaires sur les vulnérabilités
janvier 2023 par Steve Gyurindak, CTO réseaux et OT, Armis
Armis partage ses commentaires sur le contrôleur logique programmable (PLC) Siemens S7-1500. Les chercheurs de la société de sécurité des périphériques embarqués Red Balloon Security publient les conclusions de leur enquête d’un an concernant le contrôleur logique programmable (PLC) Siemens S7-1500. Ils ont pu évaluer le micrologiciel crypté du PLC en tirant parti d’une erreur de cryptographie de ce micrologiciel, gravé dans la puce ATECC CryptoAuthentication dédiée du PLC. Et Siemens ne propose aucune autre solution que le remplacement du matériel par une version plus récente.
La présence d’un bien vulnérable dans un système de contrôle industriel (ICS) est courante. Un ICS regroupe habituellement des biens de plusieurs générations. En moyenne, un équipement est prévu pour durer au moins dix ans, et il est illusoire de penser que la technologie conçue il y a dix ans l’a été d’une façon permettant à cet équipement d’être constamment mis à jour vers la technologie actuelle sans remplacement.
Ce qui rend la situation un peu plus complexe, c’est la fréquence de l’utilisation du SL-1500 en production. Le SL-1500 est l’un des PLC les plus populaires, et un bien essentiel dans tous les secteurs, de la manufacture à la production d’énergie, en passant par les oléoducs et gazoducs. Les chercheurs affirment que pour exploiter la faille, il faut accéder physiquement au PLC. Cependant, on a vu par le passé que d’autres failles nécessitant un accès physique étaient exploitées sur le terrain (Stuxnet). Et, dans un monde toujours connecté, les voies de communication sont plus ouvertes que jamais.
Cela montre, une fois encore, que chaque client doit mettre en place un système capable d’identifier chaque bien, de comprendre les risques et les vulnérabilités de ces biens, et de surveiller chaque connexion réseau établie vers et depuis chaque bien.
La visibilité des biens est au cœur d’une solution de sécurité, quelle qu’elle soit. Vous ne pouvez pas protéger ce que vous ne connaissez pas. Et, en l’occurrence, il est difficile de comprendre chaque bien qui accède à un SL-1500 vulnérable, de savoir ce qu’est ce bien, qui l’utilise, les applications qui servent à communiquer, les protocoles mis en place et, surtout, si le SL-1500 réalise des opérations au-delà de son comportement normal.
Imaginez, par exemple, que le PLC se mette soudain à essayer de communiquer avec tous les autres PLC, alors qu’il ne l’avait jamais fait auparavant. Quand certains de vos biens ICS sont vulnérables, il est indispensable de savoir ce qu’est chaque bien et de surveiller son comportement pour détecter les anomalies, car elles peuvent indiquer une compromission.
Comme je l’ai dit, la présence d’un bien vulnérable dans une installation ICS est courante. Et si vous disposez d’une bonne visibilité de l’ensemble de vos biens, risques, vulnérabilités et communications, alors vous saurez s’ils exécutent les tâches qui leur sont confiées comme ils le doivent.
