Vulnérabilité Heartbleed OpenSSL dans les systèmes de contrôle industriels

Numéro : AL14-026 MISE À JOUR
Date : 16 mai 2014

Objet

La présente alerte a pour but d'attirer l'attention sur des mises à jour et des avis de sécurité récemment publiés et ayant trait à divers systèmes de contrôle industriel (SCI).

Évaluation

Une vulnérabilité dans OpenSSL permet à un attaquant non authentifié d'accéder à distance à des données privées en raison d'une erreur de traitement de la mémoire dans l'extension Heartbeat du protocole TLS. L'attaquant pourrait ainsi exposer des justificatifs d'identité et des clés secrètes, ainsi que déchiffrer le trafic sécurisé dans le système de la victime.

Référence CVE : CVE-2014-0160
Cote CVSS : 9,4
Versions touchées : OpenSSL, versions 1.0.1 à 1.0.1f et 1.0.2-beta1

OpenSSL est souvent intégré à des dispositifs qui nécessitent des communications sécurisées. Par conséquent, les systèmes et les appareils touchés par cette vulnérabilité et accessibles à distance pourraient permettre la fuite de renseignements menant éventuellement au vol de justificatifs d'identité et à une perte de contrôle.

Il est important de savoir que cette vulnérabilité peut être exploitée dans les versions client et serveur de la bibliothèque OpenSSL.

Produits touchés

1) Schneider Electric Wonderware Intelligence
La dernière version de Wonderware Intelligence n'est pas touchée par la vulnérabilité dans OpenSSL, contrairement au composant tiers Tableau Server de cette application. Les produits suivants présentent une vulnérabilité dans OpenSSL :

  • Tableau Server, versions 8.0.6 à 8.0.9
  • Tableau Server, versions 8.1.0 à 8.1.5

Schneider Electric Wonderware a publié un correctif et un bulletin de sécurité pour éliminer cette vulnérabilité dans tous ces produits.

2) Appareils Siemens RuggedCom à technologie ROX
Les appareils Siemens RuggedCom à technologie ROX sont vulnérables :

  • ROX, version 1.16
  • ROX, versions 2.2 à 2.5

3) Unified Automation GmbH
Les versions suivantes du produit OPC UA SDK pour Windows d'Unified Automation GmbH sont touchées :

  • OPC UA SDK, version C++ 1.4.0 (pour Windows)
  • OPC UA SDK, version ANSI-C 1.4.0 (pour Windows)

Mesure suggérée

Le CCRIC recommande que les propriétaires et les exploitants testent les mises à jour ou les solutions de rechange publiées par le fournisseur et qu'ils les appliquent aux plateformes touchées.

Il existe également une version d'OpenSSL pour le système d'exploitation Windows que l'on peut intégrer à des dispositifs ou appareils spécialisés. Il est recommandé de consulter le fournisseur ou le fabricant à ce sujet.

Références :

1) Schneider Electric Wonderware Intelligence
http://ics-cert.us-cert.gov/advisories/ICSA-14-135-02
https://wdn.wonderware.com/sites/WDN/Pages/Security%20Central/CyberSecurityUpdates.aspx
(Il faut être un utilisateur enregistré pour accéder à ce site.)

2) Appareils Siemens RuggedCom à technologie ROX
http://ics-cert.us-cert.gov/advisories/ICSA-14-135-03
http://www.siemens.com/cert/advisories

3) Unified Automation GmbH
http://ics-cert.us-cert.gov/advisories/ICSA-14-135-04
http://www.unified-automation.com/news/news-details/article/1139-heartbleed-bug-in-openssl.html

4) Avis ICSA-14-135-05 – Vulnérabilité dans OpenSSL
http://ics-cert.us-cert.gov/advisories/ICSA-14-135-05

5) Connaissance de la situation – Alerte concernant la vulnérabilité dans OpenSSL (mise à jour E)
https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-099-01E

Numéro : AL14-026
Date : 14 avril 2014

Objet

La présente alerte a pour objet d'attirer votre attention sur des mises à jour de sécurité et des avis qui viennent d'être publiés pour différents produits de systèmes de contrôle industriels (SCI).

Évaluation

Une vulnérabilité découverte dans OpenSSL rend possible l’exposition de données privées à un attaquant à distance non authentifié en raison d’une fonction défectueuse du traitement de la mémoire dans l’extension « battement de cœur » TLS. Cela pourrait permettre à un attaquant à distance d’exposer des justificatifs et des clés secrètes et de déchiffrer du trafic sécurisé.

Référence CVE : CVE-2014-0160
Cote CVSS: 9.4
Versions touchées : OpenSSL, versions 1.0.1 à 1.0.1f

OpenSSL est couramment intégré aux dispositifs requérants des communications sécurisées. Les systèmes et dispositifs touchés par cette vulnérabilité qui sont accessibles à distance sont donc vulnérables à la divulgation de renseignements, ce qui peut entraîner un vol de justificatifs et une perte de contrôle.

Le côté client et le côté serveur des versions vulnérables d’OpenSSL peuvent être exploités.

Produits touchés

Innominate est un fabricant de dispositifs de sécurité réseau conçu aux fins d’utilisation dans un environnement industriel. mGuard est un routeur cellulaire de sécurité pour les réseaux GPRS, UMTS et AMRC.

Produits SCADA et PLC de Siemens touchés :

CERTEC se spécialise dans les technologies de contrôle de processus. Atvise est une technologie Web de type interface homme-machine (HMI) utilisée pour accéder aux systèmes SCADA.

Mesure suggérée

Le CCRIC recommande que les responsables/exploitants testent les mises à jour et les solutions de contournement publiées par le fournisseur et qu’ils les appliquent aux plateformes touchées.

Une version Windows d’OpenSSL est offerte et peut être intégrée dans les dispositifs et les appareils spécialisés. Consultez le fabricant ou le fournisseur.

Références :

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :