Heartbleed : encore des systèmes industriels vulnérables
Plusieurs mois après la découverte de Heartbleed, certains systèmes de contrôle industriel signés Siemens restent vulnérables.
Plusieurs mois après la découverte de Heartbleed, certains systèmes de contrôle industriel signés Siemens restent vulnérables. Le groupe a certes diffusé rapidement des correctifs pour plusieurs produits de contrôle, de supervision, et d’acquisition de données. Mais le compte n’y est pas encore totalement.
Et le Cert US d’alerter ainsi sur la vulnérabilité de la librairie OpenSSL utilisée dans plusieurs systèmes industriels de Siemens, à commencer par les versions antérieures à la 2.02 d’APE, ou encore des versions 3.8 et 3.12 de WinCC, notamment. Ces vulnérabilités “pourraient affecter l’authenticité, l’intégrité et la disponibilité des appareils affectés. Une attaque de type man-in-the-middle pourrait permettre à un attaquant de détourner une session entre un utilisateur autorisé et l’appareil. Les autres vulnérabilités rapportées pourraient affecter la disponibilité de l’appareil en provoquant la chute du serveur Web du produit.”
Dans sa note d’information, le Cert US indique que Siemens a formulé des recommandations pour contenir le risque associé à ces vulnérabilités, et qu’il travaille à la production de correctifs.