Des dizaines de milliers de cuves de stockage de carburant dans des installations d’infrastructure critique restent vulnérables aux attaques zero-day en raison de systèmes de jauge automatique de réservoir défectueux provenant de plusieurs vendeurs, affirment les chercheurs en sécurité informatique. Les jauges automatiques de réservoir (ATG) sont utilisées pour surveiller les niveaux de carburant dans les réservoirs de stockage et s’assurer que les réservoirs ne fuient pas. Les dix CVE divulgués aujourd’hui ont été trouvés dans des produits de plusieurs vendeurs différents : Dover Fueling Solutions (DFS), OPW Fuel Management Systems (propriété de DFS), Franklin Fueling Systems et OMNTEC. Sept sont classés critiques, et tous permettent l’obtention de privilèges d’administrateur complets de l’application de l’appareil, selon Bitsight, qui a découvert les failles et les a signalées à l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) il y a six mois. Trois des produits défectueux n’ont toujours pas de correctif. « C’est une exploitation qui déplace quelque chose, donc vous avez un impact sur le monde physique », a déclaré Pedro Umbelino, chercheur principal chez Bitsight, au Register. Spécifiquement, les ATG vulnérables peuvent être utilisées de manière abusive pour causer des dommages réels, physiques et environnementaux, et Bitsight a constaté que ces produits vulnérables étaient utilisés dans des stations-service, des aéroports, des systèmes gouvernementaux, des fabricants et des entreprises de services publics, a-t-il ajouté. Malgré les efforts de la CISA et de Bitsight au cours des six derniers mois pour travailler avec les vendeurs afin de combler les failles de sécurité, Umbelino estime que le nombre d’appareils vulnérables se situe toujours entre 1 200 et 1 500.
‘Entretien avec le Luddite’
Kelly : Mis à part l’incendie criminel et beaucoup de vandalisme, qu’ont accompli les Luddites à long terme ? Sale
