À cause d’une erreur de codage du fabricant, certains équipements industriels connectés à Internet par ses passerelles pourraient être accessibles à n’importe qui, sans mot de passe. Les appareils en question sont fabriqués par la firme taïwanaise Advantech. En octobre, Advantech a corrigé le firmware de certaines de ses passerelles série vers IP pour supprimer une clef SSH codée en dur (Secure Shell) qui aurait permis un accès non autorisé en cas d’attaque distante. Mais Advantech a négligé un autre problème, beaucoup plus grave : avec n’importe quel mot de passe, il est possible de déverrouiller ses passerelles, utilisées partout dans le monde dans des environnements industriels pour connecter des périphériques série à des réseaux TCP/IP et cellulaires.
La vulnérabilité a été découverte par les chercheurs de l’entreprise de sécurité Rapid7 dans la version 1.98 du firmware, un patch destiné à la passerelle Advantech EKI-1322 Internet Protocol (IP) qui sert à connecter des périphériques série et Ethernet à un réseau cellulaire. Or, cette nouvelle version du firmware contient un protocole serveur SSH open source fortement recodé appelé Dropbear, dans lequel l'authentification a été supprimée. Si bien que, selon les chercheurs de Rapid7, n’importe quel utilisateur peut se connecter à la passerelle avec une clé publique et un mot de passe quelconque.
D’autres passerelles EKI série vers IP aussi concernées ?
Mais, toujours d’après les chercheurs, il y aurait peut-être aussi un backdoor protégé par un mot de passe codé en dur, indépendant de la clé SSH identifiée et déjà supprimée. Ce nouveau problème a été résolu dans la version 2.00 du firmware destinée à la passerelle EKI-1322, et livrée le 30 décembre dernier. Le constructeur recommande fortement aux utilisateurs de mettre à jour leur matériel vers cette version dès que possible. Cependant, même si le firmware EKI-1322 est le seul à avoir été testé par l’équipe de Rapid7, ces derniers pensent que les autres passerelles EKI série vers IP d’Advantech comportent la même faille de contournement de l'authentification.
Dans ses descriptifs, Advantech déclare que ses passerelles simplifient la gestion à distance et l’accessibilité aux données et qu’elles permettent à des milliers de dispositifs industriels de se connecter nativement aux réseaux TCP/IP. Cependant, des vulnérabilités comme celles-là rappellent les risques qu’il y a à connecter des équipements sensibles à Internet et l'importance des politiques de segmentation des réseaux dans les environnements industriels.