“Sésame ouvert”: Equipement réseau industriel piraté avec le bon nom d'utilisateur

Cette semaine, deux alertes de sécurité distinctes ont révélé des failles majeures dans les périphériques de Moxa, une société de réseaux d'automatisation industrielle. Dans un cas, des attaquants pourraient potentiellement envoyer des commandes au système d'exploitation d'un périphérique en les utilisant comme nom d'utilisateur lors d'une tentative de connexion. Dans un autre cas, la clé privée d’un serveur Web utilisée pour gérer les périphériques réseau pourrait être récupérée via une requête HTTP GET.

Cisco Talos a révélé le 3 avril que Cisco Talos avait découvert la première vulnérabilité liée aux équipements réseau industriels sans fil AWK-3131A 802.11n de Moxa, qui peut servir de point d'accès, de passerelle ou de périphérique client. en utilisant l'outil "loginutils" du système d'exploitation Busybox, les noms d'utilisateur provenant de tentatives de connexion infructueuses sont traités de manière à pouvoir être utilisés pour injecter des instructions de ligne de commande en utilisant des signes de ponctuation pour séparer la commande du reste de la ligne de commande sortie.

"L'exploitation de cette vulnérabilité a été confirmée via Telnet, SSH et le port de la console locale", ont écrit Patrick DeSantis et Dave McDaniel de Cisco Talos. "Il est suspecté que l’application Web puisse également être vulnérable car elle repose sur loginutils et l’examen de la __un événement_Le fichier binaire de l'utilisateur révèle les messages "échec" pour "WEB", "TELNET" et "SSH". "

Cisco Talos a révélé la vulnérabilité de Moxa en décembre 2017. Mettre à jour: Moxa a publié un firmware corrigé le 3 avril.

La deuxième vulnérabilité Moxa, dans le logiciel de gestion de réseau MXview de Moxa, a été publiée aujourd'hui par un avis de l'équipe d'intervention en cas d'urgence informatique du système de contrôle industriel du département de la Sécurité intérieure (ICS-CERT). MXview dispose d'un serveur Web intégré pour permettre un accès à distance aux données de gestion du réseau. La vulnérabilité, découverte par Michael DePlante du Leahy Center for Digital Investigation du Champlain College, permet à un attaquant de consulter la clé privée du serveur. Une autre vulnérabilité du même logiciel, annoncée en janvier, permet aux attaquants d’exploiter un "chemin de recherche non indiqué" depuis un navigateur Web pour accéder aux fichiers ou exécuter du code arbitraire sur le serveur.

Normalement, ces types de systèmes sont censés rester segmentés à partir d’Internet et l’atténuation recommandée par le DHS pour ces deux vulnérabilités consiste à "minimiser l’exposition du réseau à tous les dispositifs et / ou systèmes du système de contrôle et à garantir qu’ils ne sont pas accessibles. Internet ", ainsi que la segmentation des systèmes de contrôle industriels à partir du réseau professionnel. Moxa a publié une nouvelle version de MXview qui corrige ces problèmes.