L'équipe de recherche de sécurité primée dévoile le cadre OPC UA Exploit et les vulnérabilités NAS lors des plus grandes conférences de piratage de l'année
NEW YORK – 26 juillet 2023 – Claroty, la société de protection des cyberphysique-systèmes, a annoncé aujourd’hui que Team82, son équipe de recherche primée, allait descendre à Las Vegas le mois prochain pour des conférences à Black Hat USA et DEF CON, deux des plus grandes conférences de cybersécurité de l’année. Team82’s Sharon Brizinov, directrice de la recherche sur la vulnérabilité, et Noam Moshe, chercheur en vulnérabilité, présenteront deux sessions à chaque salon.
Les sessions comprennent :
Exploiter OPC-UA de toutes les façons possibles : attaques pratiques contre les architectures OPC-UA modernes
Black Hat USA : mercredi 9 août, 3 :20-4:00 pm PST
DEF CON : Samedi 12 août 2 :30-3:15 pm PST
Au cours des deux dernières années, Team82 a fait des recherches sur des dizaines d'implémentations de piles de protocoles OPC-UA utilisées dans des millions de produits industriels. Moshe et Brizinov se sont concentrés sur deux principaux vecteurs d'attaque : attaquer les serveurs OPC-UA et les passerelles de protocole, et attaquer les clients OPC-UA. La recherche a permis de mettre au point des techniques d’attaque uniques qui ciblaient des pièges spécifiques à la mise en œuvre de protocoles OPC-UA, ce qui a permis à Team82 de créer une large gamme de vulnes allant du déni de service à l’exécution de code à distance. Par exemple, les chercheurs ont exploré les fonctionnalités OPC-UA telles que le traitement des appels de méthode, les mécanismes de regroupement, la gestion de la certification, les structures de variants complexes, les éléments surveillés, les conditions de course, etc. Pour chaque partie de la spécification, les chercheurs ont essayé de comprendre ses mises en garde et de les exploiter pour obtenir des RCE, des fuites d’informations ou des attaques par déni de service. Dans cette conférence, Moshe et Brizinov partageront le parcours et les méthodes, et publieront un cadre open source avec toutes les techniques et vulnérabilités pour exploiter les piles de protocoles OPC-UA modernes.
Une douleur dans le NAS : exploiter la connectivité cloud pour s’approprier votre NAS
Black Hat USA : mercredi 9 août, 10 :20-11:00 am PST
DEF CON : Vendredi 11 août 12 :30-1:15 pm PST
A Pwn2Own Toronto 2022, Team82 a chaîné plusieurs bogues pour exploiter les appareils NAS de Synology et Western Digital en abusant des vulnérabilités dans l' équipement, le cloud et la confiance mutuelle entre eux. Après avoir examiné le mécanisme d'appariement des appareils NAS avec les plateformes cloud Western Digital (WD) et Synology, les chercheurs ont découvert de manière surprenante que les appareils s'authentifient sur le cloud à l'aide d'un identifiant matériel qui est ensuite utilisé par les utilisateurs pour accéder à distance à leurs appareils. Grâce à cela, Team82 a pu se faire passer pour n'importe quel équipement NAS donné et effectuer des attaques de phishing qui ont généré des droits d'administration sur n'importe quel équipement WD ou Synology ciblé. Moshe et Brizinov expliqueront le processus d'appariement de WD et du NAS Synology. Ils développeront l’architecture globale de l’offre cloud et se concentreront sur les vulnérabilités trouvées, y compris les moyens d’énumérer et d’usurper l’identité de tous les appareils Edge à l’aide du journal de transparence des certificats (Certificat Transparency Log, CTL) et de voler des jetons d’authentification proxy cloud. Cela a permis aux chercheurs de télécharger tous les fichiers enregistrés sur les périphériques NAS, de les modifier ou de les chiffrer, et de contourner la protection NAT/pare-feu afin d’obtenir une exécution de code à distance complète sur tous les NAS connectés au cloud (et de gagner $$$ à partir de Pwn2Own).
En outre, David Guffrey, responsable principal de la réussite des clients biomédicals chez Claroty et ancien responsable du programme de cybersécurité dispositif médical pour Mass General Brigham, fera un discours d’ouverture au DEF CON BioHacking Village, avec la stratège senior de Thermo Fisher Nina Alli et le RSSI de CareFirst BlueCross BlueShield Rob Suárez, dans une session intitulée « Sécurisation de l’ensemble du système : du corps à l’entreprise ». Le discours d’ouverture aura lieu le vendredi 11 août à 10:00 am PST.
Rendez-vous au stand n° 1960 de Claroty au Black Hat et découvrez où vous trouverez Claroty à Las Vegas le mois prochain ici.
À propos de Claroty
Claroty permet aux organisations de sécuriser les cyberphysique -systèmes dans les environnements industriels, de santé et commerciaux : le Internet étendu des objets (XIoT). La plateforme unifiée de l’entreprise s’intègre à l’infrastructure existante des clients pour fournir une gamme complète de contrôles pour la visibilité, la gestion des risques et des vulnérabilités, la détection des menaces et la accès à distance sécurisé. Soutenu par les plus grandes sociétés d’investissement et les plus grands fournisseurs d’automatisation industrielle au monde, Claroty est déployé par des centaines d’organisations sur des milliers de sites à travers le monde. La société a son siège à New York et est présente en Europe, en Asie-Pacifique et en Amérique latine. Pour en savoir plus, rendez-vous sur claroty.com.
