Quel est le niveau de gravité ? Le score CVSS (le système de notation des vulnérabilités, de référence) de la vulnérabilité est de 10, soit le niveau de criticité le plus élevé selon le scoring CVSS.

Les logiciels concernés sont déployés dans le monde entier et dans de multiples secteurs d’infrastructures critiques. La vulnérabilité affecte un mécanisme qui vérifie la communication entre les automates programmables (PLC) de Rockwell Automation et les stations d’ingénierie. En exploitant la vulnérabilité, un attaquant pourrait contourner la vérification et se connecter à distance à presque tous les PLC Logix de Rockwell. Ils pourraient alors télécharger des codes malveillants, des informations sur l’automate ou installer de nouveaux microprogrammes.

Cela pourrait compromettre un large éventail de processus de fabrication pour lesquels les PLC sont utilisés, comme ceux impliquant des pompes, des lumières, des ventilateurs, des disjoncteurs et d’autres machines.

Un avis publié hier par le CERT-ICS (CERT dédié aux systèmes de contrôle industriels) a décrit la vulnérabilité comme nécessitant un faible niveau de compétence pour être exploitée. Claroty a révélé en privé la faille à Rockwell en 2019, qui a depuis délivré des recommandations de sécurité.