Numéro : AV18-082
Date : Le 15 May 2018
Objet
Le présent avis a pour but d’attirer l’attention sur des vulnérabilités qui touchent certains produits utilisant FactoryTalk Activation Manager de Rockwell Automation.
Évaluation
Rockwell Automation a publié un avis de sécurité qui traite des vulnérabilités que comportent certains de ses produits utilisant FactoryTalk Activation Manager, y compris les failles de type Cross-Site Scripting (XSS) et le contrôle inadéquat de l’espace adresse des données entrantes. Un attaquant à distance qui parviendrait à exploiter ces vulnérabilités pourrait avoir accès à de l’information sensible, réécrire du contenu ou provoquer un dépassement de tampon menant à l’exécution de code à distance.
Produits touchés :
- FactoryTalk Activation Manager, versions 4.00 et 4.01 (compris avec CodeMeter de Wibu-Systems, versions 6.50 b et précédentes)
- FactoryTalk Activation Manager, versions 4.00 et précédentes (compris avec FlexNet Publisher, versions 11.11.1.1 et précédentes)
Les produits suivants recourent à FactoryTalk Activation Manager pour stocker et surveiller les fichiers d’activation et les logiciels de Rockwell Automation. Les utilisateurs de ces produits doivent donc prendre les mesures recommandées.
- Arena
- Emonitor
- FactoryTalk AssetCentre
- FactoryTalk Batch
- FactoryTalk EnergyMetrix
- FactoryTalk eProcedure
- FactoryTalk Gateway
- FactoryTalk Historian Classic
- FactoryTalk Historian Site Edition (SE)
- FactoryTalk Information Server
- FactoryTalk Metrics
- FactoryTalk Transaction Manager
- FactoryTalk VantagePoint
- FactoryTalk View Machine Edition (ME)
- FactoryTalk View Site Edition (SE)
- FactoryTalk ViewPoint
- RSFieldBus
- RSLinx Classic
- RSLogix 500
- RSLogix 5000
- RSLogix5
- RSLogix Emulate 5000
- RSNetWorx
- RSView32
- SoftLogix 5800
- Studio 5000 Architect
- Studio 5000 Logix Designer
- Studio 5000 Logix Emulate
- Studio 5000 View Designer
Références CVE : CVE-2015-8277, CVE-2017-13754
Mesures Suggérées
Le CCRIC recommande aux propriétaires et aux exploitants de faire l’essai des mises à jour ou des solutions de rechange proposées par le fournisseur et de les appliquer aux plateformes touchées. En outre, Rockwell Automation incite les utilisateurs à déployer simultanément plusieurs stratégies par la combinaison des mises à jour décrites plus haut et des directives générales de sécurité qui suivent :
- Interdire l’accès au EtherNet/IP et à tout autre appareil CIP (Common Industrial Protocol) depuis l’extérieur de la zone de fabrication en bloquant ou en restreignant l’accès aux ports 2222 (TCP et UDP) et 44818 (TCP et UDP) au moyen de dispositifs réseau adéquats : pare-feu, système de gestion unifiée des menaces (UTM) ou autre dispositif de sécurité. Pour en savoir davantage sur les ports TCP et UDP utilisés par les produits Rockwell Automation, consulter l’article no 898270 de la base de connaissances au https://rockwellautomation.custhelp.com/app/answers/detail/a_id/898270/page/1 (en anglais seulement et ouverture de session requise).
- Réduire l’exposition réseau des systèmes et des dispositifs de commande des systèmes, et vérifier qu’on ne peut y avoir accès par Internet.
- Localiser les réseaux de systèmes et de dispositifs de commande derrière des pare-feu et les isoler du réseau opérationnel.
- Si un accès à distance est nécessaire, utiliser des méthodes sécurisées comme un réseau privé virtuel (VPN) en sachant qu’il peut présenter des vulnérabilités et qu’il doit être mis à jour. La sûreté d’un VPN dépend de celle des appareils qui y sont connectés.
Références :
ICS-CERT : ICSA-18-102-02 – Rockwell Automation FactoryTalk Activation Manager : https://ics-cert.us-cert.gov/advisories/ICSA-18-102-02 (en anglais seulement)