Plusieurs vulnérabilités de sécurité ont été découvertes dans divers services, y compris le système de contrôle distribué Honeywell Experion (DCS) et QuickBlox, qui, si elles sont exploitées avec succès, pourraient entraîner une grave compromission des systèmes concernés.
Surnommées Crit.IX, les neuf failles de la plate-forme Honeywell Experion DCS permettent « l’exécution de code à distance non autorisée, ce qui signifie qu’un attaquant aurait le pouvoir de prendre le contrôle des appareils et de modifier le fonctionnement du contrôleur DCS, tout en cachant les altérations de le poste de travail d’ingénierie qui gère le contrôleur », a déclaré Armis dans un communiqué partagé avec The Hacker News.
Autrement dit, les problèmes sont liés au manque de cryptage et de mécanismes d’authentification adéquats dans un protocole propriétaire appelé Control Data Access (CDA) qui est utilisé pour communiquer entre les serveurs Experion et les contrôleurs C300, permettant ainsi à un acteur malveillant de prendre le contrôle des appareils et de modifier le fonctionnement. du contrôleur DCS.
« En conséquence, toute personne ayant accès au réseau peut se faire passer pour le contrôleur et le serveur », a déclaré Tom Gol, CTO pour la recherche chez Armis. » De plus, il existe des défauts de conception dans le protocole CDA qui rendent difficile le contrôle des limites des données et peuvent entraîner des débordements de mémoire tampon. «
Dans un développement connexe, Check Point et Claroty ont découvert des failles majeures dans une plate-forme de chat et d’appel vidéo connue sous le nom de QuickBlox, largement utilisée dans la télémédecine, la finance et les appareils IoT intelligents. Les vulnérabilités pourraient permettre aux attaquants de divulguer la base de données des utilisateurs de nombreuses applications populaires qui intègrent le SDK et l’API QuickBlox.
Cela inclut Rozcom, un fournisseur israélien qui vend des interphones pour des cas d’utilisation résidentielle et commerciale. Un examen plus approfondi de son application mobile a conduit à la découverte de bogues supplémentaires (CVE-2023-31184 et CVE-2023-31185) qui ont permis de télécharger toutes les bases de données d’utilisateurs, d’usurper l’identité de n’importe quel utilisateur et d’effectuer des attaques de prise de contrôle complète de compte.
« En conséquence, nous avons pu prendre en charge tous les appareils d’interphone Rozcom, nous donnant un contrôle total et nous permettant d’accéder aux caméras et aux microphones de l’appareil, d’écouter son flux, d’ouvrir les portes gérées par les appareils, et plus encore », ont déclaré les chercheurs.
Cette semaine, des failles d’exécution de code à distance affectant les points d’accès Aerohive/Extreme Networks exécutant des versions de HiveOS/Extreme IQ Engine antérieures à 10.6r2 et la bibliothèque open source Ghostscript (CVE-2023-36664, score CVSS : 9,8) ont également été divulguées. exécution de commandes arbitraires.
« Ghostscript est un package largement utilisé mais pas nécessairement très connu », a déclaré Dave Truman, chercheur chez Kroll. « Il peut être exécuté de différentes manières, de l’ouverture d’un fichier dans un éditeur d’images vectorielles tel qu’Inkscape à l’impression d’un fichier via CUPS. Cela signifie qu’une exploitation d’une vulnérabilité dans Ghostscript peut ne pas être limitée à une application ou être immédiatement évidente . »
La liste est complétée par la découverte d’informations d’identification codées en dur dans les routeurs de passerelle DSL Technicolor TG670 qui pourraient être militarisées par un utilisateur authentifié pour obtenir un contrôle administratif total des appareils.
« Un attaquant distant peut utiliser le nom d’utilisateur et le mot de passe par défaut pour se connecter en tant qu’administrateur au routeur », a déclaré le CERT/CC dans un avis. « Cela permet à l’attaquant de modifier n’importe lequel des paramètres administratifs du routeur et de l’utiliser de manière inattendue. »
Il est conseillé aux utilisateurs de désactiver l’administration à distance sur leurs appareils pour éviter les tentatives d’exploitation potentielles et de vérifier auprès des fournisseurs de services pour déterminer si les correctifs et mises à jour appropriés sont disponibles.
