Microsoft a révélé qu'il existe au moins 25 vulnérabilités documentées affectant un large éventail d'appareils IoT et de technologie opérationnelle (OT) dans les réseaux industriels. Ces failles autorisent les pirates à déjouer les contrôles de sécurité, à exécuter un code malveillant ou à faire planter un système dans les secteurs industriels.
Microsoft a analysé le code de gestion de la mémoire utilisé dans un grand nombre d'appareils. Notamment des systèmes de contrôle industriels et des appareils de soins de santé. Il a constaté que ce code est susceptible d'être exploité pour détourner les périphériques. En conséquence, la firme a encouragé les utilisateurs à se procurer des micrologiciels qui corrigent les failles.
Microsoft nomme la famille de failles « BadAlloc »
Le groupe de recherche en sécurité de Microsoft a divulgué plusieurs failles critiques d'allocation de mémoire dans les appareils IoT et OT. L'on appelle ces failles d'exécution de code à distance (RCE) « BadAlloc ». En réalité, ce nom provient de l'utilisation de certaines fonctions vulnérables telles que malloc, calloc, realloc, memalign, valloc, pvalloc.
De fait, cette utilisation prend une ampleur inquiétante lors de la transmission d'une entrée externe. Cette opération peut provoquer un débordement de tas permettant à un attaquant d'exécuter un code malveillant sur l'appareil cible.
Surnommée Section 52, l'équipe de recherche en sécurité Azure Defender for IoT a expliqué ce concept. En principe, le dépassement de tas se produit lorsqu'un attaquant réussit à tromper le code de l'application. Ce piratage a pour but d'allouer une très grande quantité de mémoire à un tampon destiné à contenir d'autres informations entrantes.
Microsoft recommande aux organisations d'appliquer des mesures de contrôle
Selon Microsoft, la société a collaboré avec le ministère américain de la Sécurité intérieure pour alerter les fournisseurs concernés et corriger les vulnérabilités.
Parmi la liste des produits concernés figurent les appareils de Google Cloud, Arm, Amazon, Red Hat, Texas Instruments et Samsung Tizen. Le niveau des scores CVSS v3 varie de 3,2 en ce qui concerne Tizen jusqu'à 9,8 pour Red Hat newlib avant sa version 4.
Comme pour la plupart des risques, le principal conseil de Microsoft est de patcher les produits affectés. En particulier, les appareils et les réseaux IoT doivent être isolés des réseaux informatiques des entreprises par des pare-feu. Le tout même si les équipements industriels risquent de poser des problèmes de mise à jour.
Redmond suggère de déconnecter les appareils d'Internet si possible ou de les placer derrière un VPN avec authentification 2FA. Cette dernière représente une forme de sécurité et de surveillance du réseau pour détecter les indicateurs comportementaux de compromission. Cette approche permet en outre d'utiliser la segmentation du réseau pour protéger les actifs critiques.
En effet, la segmentation du réseau joue un rôle important pour la confiance zéro selon l'équipe de la Section 52. Elle limite la capacité de l'attaquant à se déplacer latéralement et à compromettre les actifs après l'intrusion initiale.
- Partager l'article :
