Cette semaine, Siemens a informé ses clients que certaines de ses solutions de développement de produits étaient affectées par un total de près de deux douzaines de vulnérabilités qui pourraient être exploitées pour l’exécution de code arbitraire à l’aide de fichiers malveillants.

Les failles de sécurité ont été découvertes par quelques chercheurs et leur divulgation a été coordonnée par le biais de la Zero Day Initiative (ZDI) de Trend Micro et de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, qui ont publié leurs propres avis. Les produits concernés sont tous développés par Siemens Digital Industries Software, spécialisé dans les solutions de gestion du cycle de vie des produits (PLM).

Siemens et CISA ont publié un avis concernant 18 vulnérabilités affectant Siemens JT2Go, un outil de visualisation 3D pour les données JT (format de données 3D normalisé ISO), et Teamcenter Visualization, qui fournit des solutions de visualisation aux organisations pour les documents, les dessins 2D et les modèles 3D.

Un deuxième avis a été publié pour six vulnérabilités affectant Siemens Solid Edge, une solution qui fournit des outils logiciels pour la conception, la simulation et la fabrication 3D. Quelques vulnérabilités décrites dans chaque avis se chevauchent.

La grande majorité des vulnérabilités sont des problèmes de haute gravité qui peuvent entraîner l’exécution de code arbitraire dans le contexte du processus ciblé. Une vulnérabilité peut conduire à la divulgation d’informations et elle a été classée comme de gravité moyenne.

Les failles d’exécution de code sont liées à une validation incorrecte des données fournies par l’utilisateur lors de l’analyse de certains types de fichiers, ce qui conduit à une vulnérabilité de corruption de la mémoire. Afin de mener une attaque, l’attaquant doit convaincre l’utilisateur ciblé d’ouvrir un fichier spécialement conçu.

En savoir plus sur les vulnérabilités des systèmes industriels lors de la conférence ICS sur la cybersécurité de SecurityWeek et de la série d’événements virtuels Security Summits de SecurityWeek

Les types de fichiers qui peuvent être utilisés pour déclencher le …

Voir la source de cette publication