Des vulnérabilités exposent fortement une société technologique chinoise au piratage

Des vulnérabilités exposent fortement une société technologique chinoise au piratage

En Chine, certains produits de la société de technologie iRay Technology sont affectés par des vulnérabilités. Ces défauts pourraient permettre à des acteurs malveillants de pirater l’entreprise, de falsifier notamment les processus industriels ou de perturber la production.

Des vulnérabilités potentiellement graves  

Les chercheurs de SEC Consult, un cabinet de conseil en cybersécurité autrichienne, ont découvert des vulnérabilités sur un des produits d’InfiRay, une marque commerciale d’iRay Technology. Cette dernière se spécialise dans la production de composants optiques, plus particulièrement de solutions d’imagerie infrarouge et thermique.

La marque approvisionne 89 pays. Selon les chercheurs, les vulnérabilités concernent le modèle de caméra thermique A8Z3. Ce dernier est conçu pour un large éventail d’applications industrielles. Les vulnérabilités sont jugées potentiellement critiques.

Un test sur le produit concerné a permis de révéler ces failles de sécurité. Le cabinet avoue s’être concentré sur ce seul modèle. Néanmoins, compte tenu des faits, il est fortement probable que des vulnérabilités similaires affectent d’autres références. 

Origine des vulnérabilités et risques

Au total, les chercheurs ont identifié cinq vulnérabilités, une étant liée aux informations d’identification codées en dur pour l’application Web. Des hackers peuvent utiliser ces failles comme facteur d’accès direct à l’interface Web du modèle A8Z3. 

Ils ont également identifié un débordement de tampon dans le micrologiciel. Par ailleurs, ils expliquent que l’utilisation de composants logiciels obsolètes a également généré plusieurs vulnérabilités.

Les risques sont élevés. Des hackers pourraient se servir de ces failles pour accéder directement aux systèmes de contrôle commerciaux (ICS). Celles-ci pourraient également leur donner accès aux réseaux de contrôle de gestion et d’approvisionnement en informations (SCADA).

Des vulnérabilités déjà signalées  

Steffen Robertz, consultant en sécurité spécialisé dans les systèmes embarqués  chez SEC Consult déclare : « Un attaquant pourrait signaler des températures erronées et ainsi créer des produits de qualité inférieure ou arrêter la production ». 

Les chercheurs ont découvert ces vulnérabilités en 2021. Ils ont envoyé  les conclusions de leurs analyses à l’entreprise concernée. La marque InfiRay n’a pas donné suite à cet avis. Les chercheurs ignorent à ce jour si des correctifs ont été publiés. 

Devant l’incertitude, SEC Consult recommande aux clients d’InfiRay de contacter leur fournisseur et de demander si besoin des mises à jour.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest