1. RÉSUMÉ
- CVSSv3 9.8
- ATTENTION: Exploitable à distance/Faible complexité d’attaque
- Fournisseur: Puissance voltronique
- Équipement: ViewPower Pro
- Vulnérabilités : Désérialisation de données non fiables, authentification manquante pour une fonction critique, méthode ou fonction dangereuse exposée, injection de commande du système d’exploitation
2. ÉVALUATION DES RISQUES
L’exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant de créer une condition de déni de service, d’obtenir les informations d’identification de l’administrateur ou de réaliser l’exécution de code à distance.
3. DÉTAILS TECHNIQUES
3.1 PRODUITS CONCERNÉS
Les versions suivantes de ViewPower Pro, un logiciel de gestion d’alimentation sans interruption (UPS), sont concernées :
3.2 Aperçu de la vulnérabilité
3.2.1 DÉSÉRIALISATION DE DONNÉES NON FIABLES CWE-502
Le produit concerné désérialise les données non fiables sans vérifier suffisamment que les données résultantes seront valides.
CVE-2023-51570 a été attribué à cette vulnérabilité. Un score de base CVSS v3 de 9,8 a été calculé ; la chaîne vectorielle CVSS est (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
3.2.2 AUTHENTIFICATION MANQUANTE POUR LA FONCTION CRITIQUE CWE-306
Lorsqu’un service spécifique du produit concerné reçoit un certain message d’un utilisateur non authentifié, ce processus peut s’arrêter.
CVE-2023-51571 a été attribué à cette vulnérabilité. Un score de base CVSS v3 de 7,5 a été calculé ; la chaîne vectorielle CVSS est (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H).
Le produit concerné est vulnérable à une injection de commande du système d’exploitation, qui peut permettre l’exécution de code à distance sur le système d’exploitation sous-jacent.
CVE-2023-51572 a été attribué à cette vulnérabilité. Un score de base CVSS v3 de 9,8 a été calculé ; la chaîne vectorielle CVSS est (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
3.2.4 MÉTHODE OU FONCTION DANGEREUSE EXPOSÉE CWE-749
Le produit concerné permet à un utilisateur non authentifié d’appeler une méthode susceptible de modifier le mot de passe du compte administrateur.
CVE-2023-51573 a été attribué à cette vulnérabilité. Un score de base CVSS v3 de 9,8 a été calculé ; la chaîne vectorielle CVSS est (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
3.3 CONTEXTE
- SECTEURS D’INFRASTRUCTURES CRITIQUES : Fabrication critique
- PAYS/ZONES DÉPLOYÉES : Mondial
- EMPLACEMENT DU SIÈGE DE LA SOCIÉTÉ : États-Unis
3.4 CHERCHEUR
Simon Janz (@esj4y) de la Zero Day Initiative de Trend Micro a signalé ces vulnérabilités à CISA.
4. ATTÉNUATIONS
Voltronic Power n’a pas répondu aux tentatives de coordination de CISA. Les utilisateurs de produits Voltronic Power sont encouragés à contacter Voltronic Power et à maintenir leurs systèmes à jour.
CISA recommande aux utilisateurs de prendre des mesures défensives pour minimiser le risque d’exploitation de ces vulnérabilités, telles que :
- Minimisez l’exposition du réseau pour tous les appareils et/ou systèmes du système de contrôle, en vous assurant qu’ils ne sont pas accessibles depuis Internet.
- Localisez les réseaux du système de contrôle et les appareils distants derrière des pare-feu et isolez-les des réseaux d’entreprise.
- Lorsqu’un accès à distance est requis, utilisez des méthodes plus sécurisées, telles que les réseaux privés virtuels (VPN), en reconnaissant que les VPN peuvent présenter des vulnérabilités et doivent être mis à jour vers la version disponible la plus récente. Sachez également que le VPN est aussi sécurisé que les appareils connectés.
CISA rappelle aux organisations d’effectuer une analyse d’impact et une évaluation des risques appropriées avant de déployer des mesures défensives.
CISA fournit également une section sur les pratiques recommandées en matière de sécurité des systèmes de contrôle sur la page Web ICS sur cisa.gov/ics. Plusieurs produits CISA détaillant les meilleures pratiques de cyberdéfense sont disponibles en lecture et en téléchargement, notamment Améliorer la cybersécurité des systèmes de contrôle industriel grâce à des stratégies de défense en profondeur.
CISA encourage les organisations à mettre en œuvre les stratégies de cybersécurité recommandées pour une défense proactive des actifs ICS.
Des conseils d’atténuation supplémentaires et des pratiques recommandées sont disponibles publiquement sur la page Web ICS à l’adresse cisa.gov/ics dans le document d’information technique, ICS-TIP-12-146-01B–Targeted Cyber Intrusion Detection and Mitigation Strategies.
Les organisations observant des activités malveillantes suspectées doivent suivre les procédures internes établies et signaler leurs conclusions à la CISA pour les suivre et les corréler avec d’autres incidents.
Aucune exploitation publique connue ciblant spécifiquement ces vulnérabilités n’a été signalée à la CISA pour le moment.
5. HISTORIQUE DES MISE À JOUR
- 23 janvier 2024 : publication initiale
