Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
A Siemens S7
Lily Hay Newman
En 2009, le ver informatique Stuxnet a paralysé des centaines de centrifugeuses à l'intérieur de l'usine iranienne d'enrichissement d'uranium de Natanz en ciblant le logiciel fonctionnant sur les ordinateurs industriels de l'installation, connus sous le nom de contrôleurs logiques programmables. Les automates exploités ont été fabriqués par le géant de l'automatisation Siemens et étaient tous des modèles de la série de produits SIMATIC S7 omniprésente et de longue date de l'entreprise. Aujourd'hui, plus d'une décennie plus tard, Siemens a révélé aujourd'hui qu'une vulnérabilité de sa série S7-1500 pourrait être exploitée par un attaquant pour installer silencieusement un micrologiciel malveillant sur les appareils et en prendre le contrôle total.
La vulnérabilité a été découverte par des chercheurs de la société de sécurité des appareils embarqués Red Balloon Security après avoir passé plus d'un an à développer une méthodologie pour évaluer le micrologiciel du S7-1500, que Siemens a chiffré pour une protection supplémentaire depuis 2013. Le micrologiciel est le code de bas niveau. qui coordonne le matériel et les logiciels sur un ordinateur. La vulnérabilité provient d'une erreur de base dans la façon dont la cryptographie est implémentée, mais Siemens ne peut pas la corriger via un correctif logiciel car le schéma est physiquement gravé sur une puce ATECC CryptoAuthentication dédiée. En conséquence, Siemens affirme qu'il n'a prévu aucun correctif pour l'un des 122 modèles d'automates S7-1500 que l'entreprise répertorie comme étant vulnérables.
Selon Siemens, étant donné que la vulnérabilité nécessite un accès physique pour être exploitée par elle-même, les clients doivent atténuer la menace en évaluant "le risque d'accès physique à l'appareil dans le déploiement cible" et en mettant en œuvre "des mesures pour s'assurer que seul le personnel de confiance a accès à le matériel physique." Les chercheurs soulignent, cependant, que la vulnérabilité pourrait potentiellement être enchaînée avec d'autres vulnérabilités d'accès à distance sur le même réseau que les automates S7-1500 vulnérables pour fournir le micrologiciel malveillant sans contact en personne. Les attaquants de Stuxnet ont utilisé des clés USB corrompues comme vecteur créatif pour introduire leurs logiciels malveillants dans des réseaux « isolés » et finalement infecter les API des séries S7-300 et 400 alors en vigueur.
"Les automates Seimans sont utilisés dans des capacités industrielles très importantes à travers le monde, dont beaucoup sont des cibles d'attaques potentiellement très attrayantes, comme Stuxnet et les centrifugeuses nucléaires", explique Grant Skipper, chercheur chez Red Balloon Security.
L'omniprésence et la criticité des automates S7-1500 sont les deux caractéristiques qui ont motivé les chercheurs à approfondir la sécurité des appareils. Pour un attaquant motivé et disposant de ressources suffisantes, toute faille pourrait valoir la peine d'être exploitée.
"Le micrologiciel crypté signifie que sans beaucoup d'efforts, vous n'avez aucune idée de l'intérieur d'un appareil, nous voulions donc voir ce qui se cachait dans la gamme de produits 1500", explique Yuanzhe Wu, chercheur chez Red Balloon Security. "Les appareils utilisent un coprocesseur de cryptographie dédié pour vérifier le micrologiciel crypté qui est chargé sur l'appareil, décrypter le micrologiciel et laisser l'appareil démarrer. Cependant, nous avons trouvé des vulnérabilités qu'un attaquant pourrait exploiter pour faire en sorte que le coprocesseur de cryptage agisse comme un oracle pour décrypter firmware, puis aidez-le à le modifier pour apporter des modifications malveillantes. »
Lauren Goode
Lauren Goode
Julien Chokkattu
Chevalier
Étant donné que le micrologiciel sous-tend les fonctions d'un appareil, la possibilité de modifier silencieusement le micrologiciel saperait toutes les autres protections de sécurité et donnerait à un attaquant le contrôle total de l'appareil sans que son propriétaire se rende compte que quelque chose a changé.
"Ce cœur de chiffrement séparé est une puce très rudimentaire. Ce n'est pas comme un gros processeur, donc il ne sait pas vraiment à qui il parle ou ce qui se passe dans un contexte plus large", explique Skipper de Red Balloon. "Donc, si vous pouvez lui dire les bonnes choses que vous avez observées que le processeur lui dit, il vous parlera comme si vous étiez le processeur. Ainsi, nous pouvons nous mettre entre le processeur et le cœur de chiffrement, puis nous lui disons essentiellement, ' Hé, nous sommes le processeur et nous allons vous donner des données et nous voulons que vous les cryptiez.' Et le petit noyau crypto ne va pas remettre cela en question. Il le fait tout simplement.
Siemens note que les vulnérabilités ne sont pas liées au processus de mise à jour du micrologiciel de l'entreprise et ne donnent pas aux attaquants la possibilité de détourner ce canal de distribution. Mais le fait que n'importe quel S7-1500 puisse devenir un oracle bénissant le micrologiciel est significatif et confère un pouvoir que les appareils individuels ne devraient pas avoir, ce qui compromet l'objectif de cryptage du micrologiciel en premier lieu.
"Les S7 ne devraient pas pouvoir rechiffrer le micrologiciel pour d'autres S7", déclare Ang Cui, fondateur et PDG de Red Balloon Security. "Il s'agit d'un défaut de conception fondamental et d'une erreur de mise en œuvre importante."
Bien que Siemens ne publie pas directement de correctifs pour la vulnérabilité, la société affirme qu'elle est en train de publier un matériel de processeur de nouvelle génération qui corrige la vulnérabilité pour plusieurs modèles S7-1500. Et la société affirme qu'elle "travaille sur de nouvelles versions matérielles pour les types d'automates restants afin de résoudre complètement cette vulnérabilité". Les chercheurs de Red Balloon disent qu'ils n'ont pas encore été en mesure de valider de manière indépendante que la vulnérabilité a été corrigée dans ce dernier matériel S7-1500.
Pourtant, les chercheurs de Red Balloon Security affirment qu'il serait possible pour Siemens de publier un outil d'audit du micrologiciel pour n'importe quel automate afin de vérifier s'il y a eu altération de l'appareil. Étant donné que la vulnérabilité persistera sur les appareils concernés, une telle fonctionnalité donnerait aux propriétaires de S7-1500 un meilleur aperçu de leurs API et la possibilité de les surveiller pour toute activité suspecte.
"C'est le même film, juste un jour différent", déclare Cui de Red Balloon. "Est-ce que la sécurité matérielle très compliquée et exotique améliore la sécurité globale ? Eh bien, si vous le faites correctement, cela pourrait aider, mais je n'ai vu aucun humain le faire correctement. Lorsque vous le faites mal, cela devient toujours une arme à double tranchant. - et le tranchant de cette épée est très tranchant."
Bien que Siemens affirme qu'il traite la vulnérabilité du S7-1500 dans de nouveaux modèles, la population de 1500 vulnérables dans les systèmes de contrôle industriel et d'infrastructures critiques dans le monde est importante, et ces unités resteront utilisées pendant des décennies.
"Siemens dit que cela ne sera pas corrigé, donc ce n'est pas simplement un jour zéro - cela restera un jour pour toujours jusqu'à ce que tous les 1500 vulnérables soient hors service", a déclaré Cui. "Il pourrait être dangereux de laisser cela sans réponse."