Les news relatives à la cybersécurité des installations industrielles
Campagne UNC1549 contre l’aéronautique et la défense
UNC1549, groupe présumé iranien, mène depuis 2024 une campagne ciblant l’aéronautique et la défense. Leur objectif est l’espionnage : collecte de données sensibles et pivot vers d’autres entreprises du secteur. Leur opération se distingue par une forte capacité d’évasion : effacement des traces, suppression d’artefacts RDP et utilisation d’infrastructures Azure légitimes pour masquer leurs activités. Ils obtiennent l’accès via phishing très ciblé et via des comptes tiers compromis (Citrix, VMware, AVD). Une fois dans le réseau, ils déploient des backdoors personnalisées et abusent largement du DLL search order hijacking pour rester invisibles. Ils utilisent DCSYNCER.SLICK (DCSync) pour l'élévation de privilèges, CRASHPAD pour vol de mots de passe navigateurs et SIGHTGRAB pour réaliser des captures d'écran, puis se déplacent via RDP, AWRC, SCCM remote control ou tunnels SSH inversés.
Claroty Team82 : IA pour les CPS
L'équipe Team82 de Claroty a publié un rapport intitulé "Resolving the CPS Identity Crisis", une étude portant sur 17 millions d'actifs industriels et infrastructures critiques (CPS). Ce rapport révèle que 88 % de ces actifs ne transmettent pas de code produit exact et que 76 % utilisent différents noms de ceux des catalogues officiels des fournisseurs, ce qui complique la gestion des vulnérabilités.
https://web-assets.claroty.com/resource-downloads/cps-library-report.pdf
ENISA ROOT CNA : un nouveau rôle pour mieux gérer les vulnérabilités
ENISA, l'agence européenne chargée de la cybersécurité, a un nouveau rôle dans le programme CVE en devenant la racine du programme, "Root CNA (CVE Numbering Authority)". Les CNA sont des organisations qui sont autorisées par le programme CVE à attribuer des identifiants CVE aux vulnérabilités et à les publier. Ce rôle permettra à ENISA de soutenir et coordonner d'autres CNA, de vérifier que les règles CVE sont respectées et d'améliorer la gestion des vulnérabilités. Grâce à cela, ENISA pourrait mieux faciliter la coordination entre les CSIRT européens et renforcer la cybersécurité en Europe, tel que l'EUVD (European Vulnerability Database) qui est développée par ENISA conformément à la directive NIS2.
Vulnerability Corner :
Liste des Known Exploited Vulnerabilities (KEV) publiés par l'agence de cybersécurité américaine CISA la semaine dernière :
CVE | Vendor | Product | Liens |
Chromium V8 | |||
Fortinet | FortiWeb |
Vulnérabilités de composants de systèmes industriels :
Vendor | Product | Critical | High | Medium | Low | Total |
METZ CONNECT | Hardware | 2 | 3 | 0 | 0 | 5 |
Automated Logic | Automated Logic WebCTRL Server | 1 | 1 | 0 | 0 | 2 |
iCam365 | ROBOT PT Camera P201 | 0 | 0 | 2 | 0 | 2 |
Shelly | Pro 3EM,Pro 4PM | 0 | 2 | 0 | 0 | 2 |
Emerson | Appleton UPSMON-PRO | 1 | 0 | 0 | 0 | 1 |
Opto 22 | GRV-EPIC-PR1 Firmware | 0 | 0 | 1 | 0 | 1 |
Liste complète triée par CVSSv3 Score :
Vendor | Product | CVE | CVSSv3 Score | CVSSv3 Severity | EPSS | Percentile | CWE |
Emerson | Appleton UPSMON-PRO | 9.8 | CRITICAL | 1.937% | 81.940% | ||
METZ CONNECT | Hardware | 9.8 | CRITICAL | 0.084% | 20.576% | ||
METZ CONNECT | Hardware | 9.8 | CRITICAL | 0.088% | 21.269% | ||
Automated Logic | Automated Logic WebCTRL Server | 9.3 | CRITICAL | 0.014% | 1.062% | ||
METZ CONNECT | Hardware | 8.8 | HIGH | 0.208% | 38.906% | ||
METZ CONNECT | Hardware | 8.8 | HIGH | 0.287% | 49.180% | ||
Automated Logic | Automated Logic WebCTRL Server | 7.5 | HIGH | 0.022% | 2.945% | ||
METZ CONNECT | Hardware | 7.5 | HIGH | 0.033% | 5.363% | ||
Shelly | Pro 4PM | 7.4 | HIGH | 0.016% | 1.853% | ||
Shelly | Pro 3EM | 7.4 | HIGH | 0.016% | 1.811% | ||
iCam365 | ROBOT PT Camera P201 | 6.8 | MEDIUM | N/A | N/A | ||
iCam365 | ROBOT PT Camera P201 | 6.8 | MEDIUM | N/A | N/A | ||
Opto 22 | GRV-EPIC-PR1 Firmware | 6.2 | MEDIUM | N/A | N/A |
- 4 décembre2025 : NIS 2 for Industry, inscription lien
