Bulletin cybersec indus hebdo 26.S12

22.03.26 17:16 - Par Théo

Les news relatives à la cybersécurité des installations industrielles

Warlock une attaque ransomware sophistiquée :

Cet article décrit une attaque du groupe Warlock où les attaquants exploitent une faille SharePoint pour l'accès initial dans les systèmes de la victime. rester discrets pendant plusieurs jours, puis utiliser des outils légitimes notamment Visual Studio Code pour la prise en main à distance sans être détectés avant d’exfiltrer les données et déployer le ransomware à grande échelle. Il met en évidence des techniques avancées d’évasion et de persistance.

https://www.trendmicro.com/fr_fr/research/26/c/dissecting-a-warlock-attack.html

KVM IP une faille critique sous-estimée :

Un KVM IP (Keyboard, Video, Mouse) permet de contrôler un ordinateur à distance comme si on était physiquement devant, même au niveau BIOS. L’article montre que plusieurs KVM IP low-cost (Sipeed, JetKVM, etc.) contiennent des vulnérabilités majeures (pas de vérification de firmware, absence de protection brute-force, accès non authentifié) permettant à un acteur de la menace cyber de prendre le contrôle total du KVM IP et potentiellement prendre le contrôle du PC si celui-ci n'est pas renforcé. Exemple avec les HMI, il n 'y a pas d'authentification au niveau de la session, l'acteur accède directement aux applications du HMI.

https://eclypsium.com/blog/your-kvm-is-the-weak-link-how-30-dollar-devices-can-own-your-entire-network/

L'état de la cybersécurité dans le secteur industriel :

L'échantillon de l'étude comprend des petites (moins de 1 000 employés), moyennes(entre 1000 et 10 000 employés) et grandes entreprises (plus de 10 000 employés) . La majorité des cyberattaques sur les systèmes OT perturbent la production, avec environ 77 % des organisation ont expérimentés un incident cyber la dernière année. Le rapport montre également que malgré des budgets entre 6 millions et 25millions, 62 % des organisations ont moins de 10 employés dédiés à la cybersécurité industrielle. Dans ce contexte, l'étude confirme les tendances que les entreprises recherchent à externaliser et automatiser leur activités cybersécurité sur le périmètre industrielle.
https://assets.siemens-energy.com/dam/3307e8a8-e853-4c24-aa19-b2f900817951/State-of-OT-cybersecurity-for-energy-and-related-industries-pdf_Original%20file.pdf

Vulnerability Corner :

Liste des Known Exploited Vulnerabilities (KEV) publiés par l'agence de cybersécurité américaine CISA la semaine dernière :

CVE	Vendor	Product	Liens
CVE-2025-47813	Wing FTP Server	Wing FTP Server	https://nvd.nist.gov/vuln/detail/CVE-2025-47813, https://www.wftpserver.com/serverhistory.htm
CVE-2025-66376	Synacor	Zimbra Collaboration Suite (ZCS)	https://nvd.nist.gov/vuln/detail/CVE-2025-66376, https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
CVE-2026-20131	Cisco	Secure Firewall Management Center (FMC)	https://nvd.nist.gov/vuln/detail/CVE-2026-20131, https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh
CVE-2026-20963	Microsoft	SharePoint	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20963, https://nvd.nist.gov/vuln/detail/CVE-2026-20963

Vulnérabilités de composants de systèmes industriels :

Vendor	Product	Critical	High	Medium	Low	Total
CTEK	Chargeportal	1	2	1	0	4
IGL-Technologies	eParking.fi	1	2	1	0	4
Automated Logic	WebCTRL Premium Server	1	2	0	0	3

Liste complète triée par CVSSv3 Score :

Vendor	Product	CVE	CVSSv3 Score	CVSSv3 Severity	EPSS	Percentile	CWE
CTEK	Chargeportal	CVE-2026-25192	9.4	CRITICAL	N/A	N/A	CWE-306
IGL-Technologies	eParking.fi	CVE-2026-29796	9.4	CRITICAL	N/A	N/A	CWE-306
Automated Logic	WebCTRL Premium Server	CVE-2026-24060	9.1	CRITICAL	N/A	N/A	CWE-319
Automated Logic	WebCTRL Premium Server	CVE-2026-25086	7.7	HIGH	N/A	N/A	CWE-605
Automated Logic	WebCTRL Premium Server	CVE-2026-32666	7.5	HIGH	N/A	N/A	CWE-290
CTEK	Chargeportal	CVE-2026-31904	7.5	HIGH	N/A	N/A	CWE-307
IGL-Technologies	eParking.fi	CVE-2026-31903	7.5	HIGH	N/A	N/A	CWE-307
CTEK	Chargeportal	CVE-2026-27649	7.3	HIGH	N/A	N/A	CWE-613
IGL-Technologies	eParking.fi	CVE-2026-32663	7.3	HIGH	N/A	N/A	CWE-613
CTEK	Chargeportal	CVE-2026-28204	6.5	MEDIUM	N/A	N/A	CWE-522
IGL-Technologies	eParking.fi	CVE-2026-31926	6.5	MEDIUM	N/A	N/A	CWE-522

Actualité Fortress Cybersecurity

- Bilan des Known Exploited Vulnerabilities du mois de janvier 2025

- Nouveau guide de classification des actifs industriels publié par l'ANSSI

Nos prochains webinaires dédiés à la cybersécurité des installations industrielles :

- 7 mai 2026 : Segmenter les réseaux industriels, inscription lien

- 4 juin 2026 : Gérer les incidents cyber en environnement industriel, inscription lien

- 2 juillet 2026 : Gérer les vulnérabilités en environnement industriel, inscription lien

- 3 septembre 2026 : Mettre en place le plan de contrôle cyber de ses installations industriels, inscription lien

- 1 octobre 2026 : Sécuriser les accès à distance et de télémaintenance des actifs industriels, inscription lien

- 5 novembre 2026 : Protéger les endpoints dans les zones industrielles, inscription lien

- 3 décembre 2026 : Protéger les réseaux mobiles privés 5G, inscription lien