Bulletin cybersec indus hebdo 24.S23

22.07.24 08:44 - Commentaire(s) - Par Sabri Khemissa

Les news relatives à la cybersécurité des installations industrielles

Actualité

#BaseNVD #Rattrapage

Nous l'avions indiqué dans notre bulletin de la semaine dernière : des milliers de nouvelles vulnérabilités enregistrées depuis février 2024 dans la base NVD du NIST ne sont toujours pas traitées. Finalement, la NIST a trouvé une solution en s’appuyant sur une société externe qui assurera le rattrapage.

L’objectif est de traiter, avec le support complémentaire de l'agence américaine de cybersécurité (CISA), le retard avant la fin septembre de cette année. Cette échéance correspond à la fin fiscale des agences gouvernementales américaines.

https://www.nist.gov/itl/nvd

-----

#SecureByDesign

L'agence de cybersécurité australienne (ASD's ACSC) a publié un guide complet pour l'intégration de la sécurité dans les processus d'achat afin de s'assurer d'une garantie suffisante de sécurité dans les produits et services numériques.

https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/outsourcing-and-procurement/cyber-supply-chains/choosing-secure-and-verifiable-technologies

Nos dernières publications

Bilan des des Known Exploited Vulnerabilities du mois de mai 2024

https://www.fortress-cybersecurity.fr/blogs/post/bilan-des-known-exploited-vulnerabilities-du-mois-de-mai-2024

-----

Constuire son plan protection des installations industrielles

https://www.fortress-cybersecurity.fr/plan-cyber-indus

Vulnerability Corner

🔥Liste des Known Exploited Vulnerabilities (KEV) publiés par l'agence de cybersécurité américaine CISA la semaine précédente :

- CVE-2017-3506 : Oracle WebLogic Server https://www.oracle.com/security-alerts/cpuapr2017.html

------

Vulnérabilités de composants de systèmes industriels :

Source : ICS Advisory Project dashboard https://lookerstudio.google.com/u/0/reporting/f0d99ae7-c75b-4fdd-9951-8ecada5aee5e/page/G1klC

4 x Emerson

- List des produits : PACSystem, Fanuc

- 1 x Critical

- 3 x Medium

2 x Emerson

- List des produits : Ovation

- 2 x Critical

- 1 x Medium

1 x Johnson Controls Inc.

- List des produits : Software House iStar Pro Door Controller, ICU

- 1 x Critical

1 x Mitsubishi Electric

- List des produits : CC-Link IE TSN Industrial Managed Switch

- 1 x Medium

1 x Uniview

- List des produits : NVR301-04S2-P4

- 1 x Medium

Liste compléte triée par CVSSv3 Score :

Vendor	Product	CVE	CVSSv3 Score	CVSSv3 Severity	CVSSv3 Vector	EPSS	PERCENTILE	CWE
Emerson	Ovation	CVE-2022-29966	9,8	Critical	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	0	0	CWE-306
Emerson	PACSystem, Fanuc	CVE-2022-30267	9,1	Critical	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H	0	0	CWE-345
Johnson Controls Inc.	Software House iStar Pro Door Controller, ICU	CVE-2024-32752	9,1	Critical	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H	0	0	CWE-306
Mitsubishi Electric	CC-Link IE TSN Industrial Managed Switch	CVE-2023-2650	6,5	Medium	AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H	0,00123	0,4672	CWE-770
Emerson	Ovation	CVE-2022-30263	5,9	Medium	AV:P/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H	0	0	CWE-319
Uniview	NVR301-04S2-P4	CVE-2024-3850	5,4	Medium	AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	0	0	CWE-79
Emerson	PACSystem, Fanuc	CVE-2022-30268	4,9	Medium	AV:P/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L	0	0	CWE-345
Emerson	PACSystem, Fanuc	CVE-2022-30265	4,4	Medium	AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N	0	0	CWE-494
Emerson	PACSystem, Fanuc	CVE-2022-30266	4	Medium	AV:P/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N	0	0	CWE-522

Actualité Fortress Cybersecurity

Nos prochains webinaires dédiés à la cybersécurité des installations industrielles

4 juillet 2024 : Protection des nouvelles tendances Industrie 4.0 : sécurité des conteneurs

5 septembre 2024 : Gestion des vulnérabilités en environnement industriel

3 octobre 2024 : Construire le plan de protection de ses installations industrielles

7 novembre 2024 : Segmentation des réseaux industriels

5 décembre 2024 : Protection des nouvelles tendances Industrie 4.0 : sécurité des réseaux 5G privés

Lien vers le formulaire d'inscription