Carton plein pour l’édition floridienne du Pwn2Own (au sein de la conférence de sécurité S4) avec comme cible privilégiée les systèmes industriels. Les chercheurs en sécurité ont trouvé 26 failles critiques ciblant des produits ICS et Scada : des serveurs de contrôle, le standard OPC Unified Architecture (un protocole de communication omni-plateforme d’automatisation industrielle), des passerelles de données et interfaces homme-machine (IHM).
Organisée par la Zero Day Initiative (ZDI) de Trend Micro, cette compétition sur deux jours a donné au total 400 000 dollars de récompenses aux hackers participants. Les gagnants sont Daan Keuper (@daankeuper) et Thijs Alkemade (@xnyhps) de Computest Sector 7 (@sector7_nl). Au cours de la première journée, ils ont gagné 20 000 $ après avoir exécuté du code sur la solution SCADA Ignition d'Inductive Automation en utilisant une erreur d’authentification. Ils ont récidivé en trouvant une faille dans un chemin de recherche entraînant l’exécution de code à distance (RCE) dans le logiciel HMI/Scada Aveva Edge.
L’OT, un terrain de jeu pour les chercheurs en cybersécurité
Lors de la seconde journée, l’équipe Computest Sector 7 a exploité une boucle infinie pour déclencher un déni de service contre le serveur Demo C++ de Unified Automation. Le même jour, elle a contourné les contrôles des applications basés sur le standard OPC UA.Net de l’OPC Foundation et a gagné au passage 40 000 dollars. L’équipe a remporté un total de 90 000 dollars sur 3 jours.
Pour mémoire, la ZDI avait organisé à Miami en janvier 2020 un Pwn2Own dédié aux systèmes industriels. A l’époque, les chercheurs avaient trouvé 24 failles critiques dans des produits ICS et Scada. Ils avaient glané au total 280 000 dollars. L’édition 2022 montre plusieurs enseignements : les experts commencent à s’intéresser au monde de l’OT et beaucoup de travail est à mener dans ce secteur concernant la cybersécurité. Une fois les failles découvertes, les constructeurs et éditeurs ont 120 jours pour les corriger avant la publication des détails techniques.
Commentaire