Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybersécurité industrielle-OT : Les failles de sécurité des VPN entraînent un risque cyber pour les réseaux industriels des entreprises

juillet 2020 par Claroty

Ces derniers mois, les chercheurs de Claroty ont découvert des vulnérabilités d’exécution de code à distance affectant les réseaux privés virtuels (VPN), principalement utilisés pour fournir un accès à distance aux réseaux industriels (Operational Technology-OT). Ces solutions d’accès à distance sont principalement dédiées aux systèmes de contrôle industriel (SCI), et leur principale fonction est de fournir une maintenance et une surveillance des contrôleurs et des appareils mobiles, y compris les automates programmables industriels (PLC) et les périphériques d’entrée/sortie (E/S). Ces solutions sont généralement déployées aux limites de la couche extérieure du réseau au niveau 5 du modèle Purdue et permettent d’accéder aux contrôleurs et périphériques situés au niveau 1/0. L’exploitation de ces vulnérabilités peut donner à un attaquant un accès direct aux appareils mobiles et causer certains dommages physiques.

Diagramme du modèle Purdue pour les systèmes de contrôle industriel

Les produits vulnérables sont largement utilisés dans les industries telles que le pétrole et le gaz, les services d’eau et d’électricité, où une connectivité sécurisée avec les sites distants est essentielle. Outre la connectivité entre les sites, ces solutions sont également utilisées pour permettre aux opérateurs distants et aux fournisseurs tiers de se connecter aux sites des clients et d’assurer la maintenance et la surveillance des automates programmables et autres dispositifs de niveau 1/0. Ce type d’accès est devenu particulièrement prioritaire ces derniers mois en raison de la COVID-19.

Afin de mieux comprendre le risque posé par l’exploitation de ces vulnérabilités et ce qui peut être fait pour se défendre contre de telles attaques, Claroty a testé de manière approfondie la posture de sécurité de quelques solutions d’accès à distance. Les conclusions sont les suivantes :

• Les serveurs d’accès à distance vulnérables peuvent servir de surfaces d’attaque très efficaces pour les cybercriminels qui ciblent les VPN.
• L’un des grands défis des systèmes de contrôle industriel est la connexion sécurisée entre les sites distants et le datacenter principal où se trouve le serveur de collecte de données SCADA.
• L’autre surface d’attaque courante pour cibler les VPN est le poste de travail.

Le fait de prendre le contrôle de l’ordinateur d’un utilisateur autorisé permet aux attaquants d’accéder à ses identifiants VPN, ainsi qu’à ceux d’autres comptes d’employés qui pourraient permettre à l’adversaire de pénétrer et d’étendre son emprise sur le réseau interne de l’organisation sans avoir besoin de s’attaquer à l’instance du serveur.
• Les attaques par déni de service (DoS) sur les VPN de l’infrastructure de l’entreprise pourraient potentiellement devenir une nouvelle tactique utilisée par des attaquants.
• Ces derniers mois, les systèmes industriels ont largement été ciblés par des ransomwares, et ces attaques ont été principalement axées sur les composants IT des réseaux industriels, tels que les interfaces homme-machine (HMIs) et les postes de travail.

Dans le cadre de cette étude, Claroty s’est concentré sur les attaques côté client en raison de l’augmentation des attaques APT ciblant les réseaux industriels et utilisant les campagnes de phishing comme vecteur d’attaque.


Voir les articles précédents

    

Voir les articles suivants