Mardi 8 décembre, elle a publié un nouvel avis, incluant plusieurs failles d’exécution de code à distance, susceptible d’affecter des millions de technologies opérationnelles (OT), d’objets connectés (IoT) et de terminaux informatiques.

Rody Quinlan, Security Response Manager chez Tenable, propose l’analyse suivante :

« La CISA a publié un avis pour une série de vulnérabilités révélées récemment et baptisées "AMNESIA:33", exhortant les organisations à prendre des mesures défensives. La CISA a mis en évidence 13 fournisseurs concernés dans son avis.

Les vulnérabilités d’AMNESIA:33, qui portent bien leur nom car la majorité des 33 failles est liée à la mémoire, sont préoccupantes. Elles affectent potentiellement des millions de technologies opérationnelles (OT), d’objets connectés, d’outils informatiques, et incluent de multiples failles d’exécution de code à distance (RCE). Cela signifie que les attaquants pourraient exécuter du code et obtenir un contrôle total sur les appareils.

Quand une infrastructure OT est vulnérable cela suscite toujours des inquiétudes, la disponibilité et la sécurité de ces systèmes étant essentielles à notre mode de vie. Si elles sont exploitées, les conséquences pourraient en effet être considérables. La liste des fournisseurs en alerte est actuellement assez courte, mais avec plus de 150 autres susceptibles d’être touchés, cela devrait augmenter dans les jours et les semaines à venir.

Les bibliothèques impactées par AMNESIA:33 sont utilisées dans des appareils allant de l’IoT grand public, tels que les objets des maisons connectées, ou encore les systèmes de surveillance de chauffage, ventilation et climatisation. Cela a des implications sur tout ce qui doit être manipulé, transporté ou stocké à une température spécifique ou sur les systèmes automatisés utilisés pour surveiller et maintenir des charges électriques sûres.

AMNESIA:33 suit les traces de Ripple20 et URGENT/11. Ripple20 est un ensemble de 19 vulnérabilités dans la bibliothèque TCP / IP créée par Treck, tandis que URGENT / 11 est un ensemble de 11 vulnérabilités dans VxWorks, un système d’exploitation en temps réel (RTOS). Comme AMNESIA:33, Ripple20 et URGENT / 11 auraient chacun affecté des millions d’appareils OT, IoT et IT.

Sachant qu’une preuve de concept (POC) est disponible pour l’une des vulnérabilités de type RCE, il est probable que des attaques soient imminentes. Il est impératif que les organisations prennent des mesures immédiates pour déterminer si les systèmes sont vulnérables et pour réduire l’impact avant toute attaque, en appliquant les mises à jour et les mesures correctives là où les correctifs ne sont pas disponibles. »

Un autre avis publié conjointement avec le FBI et le centre pour la sécurité internet (MS-ISAC) se concentre sur les cybercriminels qui visent les établissements d’enseignement primaires et secondaires aux Etats-Unis.

Satnam Narang, Principal Research Engineer, chez Tenable, commente :

« L’avis conjoint du FBI, du CISA et du centre MS-ISAC souligne l’un des plus grands défis auxquels est confronté cette année le passage à l’enseignement à distance. Les cybercriminels sont rusés et ont trouvé des moyens de profiter de ce changement. Lorsque vous ajoutez le fait que bon nombre de ces écoles manquent de personnel et sont mal équipées pour faire face à ces menaces, cela crée une opportunité idéale pour les cybercriminels.

Alors que les écoles se tournaient vers des logiciels de collaboration pour la communication vidéo, les cybercriminels et les fauteurs de troubles ont commencé à s’infiltrer dans les salles de classe virtuelles pour semer le chaos. Bien que les ransomwares aient toujours été un problème, ils sont devenus une menace encore plus importante en 2020. Cela peut également être dû au fait que les groupes de ransomwares ont commencé à tirer parti des tactiques d’extorsion pour forcer les écoles à payer des demandes de rançon ou à risquer de voir des informations sensibles divulguées publiquement. Outre les ransomwares, les programmes malveillants et de phishing restent des tactiques efficaces contre ces institutions.

Une cyber-hygiène de base (la gestion des correctifs, la vérification de la conformité à des politiques strictes de gestion des mots de passe, ou encore les sauvegardes régulières des systèmes essentiels non accessibles à partir du même réseau), combinée à la garantie que les systèmes sont protégés par un logiciel de sécurité, installé au niveau du point d’accès et de la passerelle, les aiderait à affronter certaines de ces menaces. L’ingénierie sociale est toujours un outil viable dans la boîte à outils des cybercriminels, donc la formation régulière de sensibilisation à la sécurité est une autre arme dans la lutte contre ces attaques. »

Pour en savoir plus sur AMNESIA :33, consultez le blog de Tenable.