Impact mondial (au moment de la diffusion)
- 580 automates programmables Unitronics exposés au public
Principaux pays touchés :
1. ÉTATS-UNIS
2. Belgique
3. Australie
4. Pays-Bas
5. Israël
Résumé
Face à l'escalade des tensions et aux récentes représailles de l'Iran contre Israël le samedi 11 avril 2024, Censys conseille vivement aux organisations de prendre des mesures proactives pour se préparer à d'éventuelles répercussions cybernétiques. Ceci est particulièrement important pour les systèmes de contrôle industriel, tels que les contrôleurs logiques programmables (PLC) d'Unitronics, qui ont déjà été ciblés aux États-Unis par des groupes d'acteurs iraniens.
En novembre dernier, la CISA a publié une alerte concernant l'exploitation par le groupe APT iranien "CyberAv3ngers" d'automates programmables Unitronics fabriqués en Israël et exposés publiquement dans des réseaux de distribution d'eau aux États-Unis. Le groupe de menace s'est appuyé sur des mots de passe faibles et par défaut pour prendre le contrôle des appareils de l'Aliquippa Water Authority et interférer avec les opérations.
Le 18 mars 2024, Unitronics a corrigé huit nouvelles vulnérabilités dans les automates Unistream affectant toutes les versions antérieures à 1.35.227, allant d'une gravité élevée à critique.
Description de l'actif
Les automates sont des interfaces réseau avec les technologies opérationnelles (OT) et les opérations physiques qui peuvent contrôler le début et la fin des opérations. Comme l'a montré le piratage de l'eau d'Aliquippa, la dépendance des infrastructures critiques à l'égard de la technologie opérationnelle implique souvent la dépendance à l'égard des automates programmables. Ces opérations physiques et OT sont souvent utilisées pour contrôler et surveiller les processus industriels à grande échelle qui soutiennent les communautés. Une pratique de sécurité généralement acceptée consiste à s'assurer que ces automates ne sont pas directement accessibles sur l'internet public et les organisations devraient donner la priorité aux mesures de sécurité pour empêcher cette interférence et d'autres interférences avec les automates.
Impact
Conséquences potentielles d'une exploitation réussie
Il est facile pour les acteurs de la menace de localiser les automates exposés sur Internet et d'exploiter les mots de passe par défaut.
En ce qui concerne les vulnérabilités récemment divulguées en mars, selon l'équipe qui les a découvertes, il n'y a pas de raison de s'inquiéter. qui les a découvertesles huit vulnérabilités "pourraient permettre à un attaquant de contourner les fonctions natives d'authentification et d'autorisation du produit, et peuvent être enchaînées pour obtenir l'exécution de code à distance". En d'autres termes, ces vulnérabilités pourraient avoir été suffisantes pour permettre aux attaquants de s'emparer une nouvelle fois des automates Unitronics.
Dans les attaques du secteur de l'eau et des eaux usées, les conséquences potentielles d'une interruption des opérations due à des compromis dans la dépendance des installations à l'égard des automates programmables auraient pu compromettre la capacité des installations à fournir de l'eau propre et à gérer les déchets, perturbant ainsi la vie des gens.
Actifs touchés
Selon le découvreur, Claroty, ces vulnérabilités affectent tous les automates Unitronics antérieurs à la version 1.35.227.
CensysL'équipe de réponse rapide de l'ASM a été en mesure d'identifier les automates Unitronics Unistream exposés. Vous trouverez ci-dessous des méthodes permettant aux clients de Censys ASM de localiser tout automate Unitronics exposé dans leur environnement ; pour des versions spécifiques, Censys recommande aux propriétaires d'enquêter directement sur ces actifs. Toutefois, il convient de noter qu'il est conseillé de retirer de l'internet tout automate exposé au public.
Censys Nom du risque ASM pour les appareils potentiellement vulnérables
"Automate Unitronics UniStream exposé"
La requête ci-dessus trouvera les automates Unitronics Unistream exposés associés à votre organisation dans votre espace de travail ASM dans un délai d'environ 24 heures.
Censys Requête ASM pour les actifs exposés.
Cette requête est partagée par les clients qui souhaitent affiner ou modifier les versions pour des opérations personnalisées.
Censys Les requêtes de recherche
sont partagées directement avec les clients de Censys . Si vous souhaitez obtenir la requête Censys pour identifier les instances globales liées à ce problème, ou si vous avez besoin d'aide, veuillez nous contacter.
Recommandations pour l’assainissement
Si vous avez besoin d'aide pour identifier positivement ces actifs, n'hésitez pas à nous le faire savoir.
