Plusieurs vulnérabilités ont été identifiées dans **ScadaBR** version 1.2.0, une plateforme SCADA (Supervisory Control and Data Acquisition) largement utilisée dans les secteurs d'infrastructures critiques. L'exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant d'exécuter du code à distance sans authentification, présentant un risque important pour les environnements de technologie opérationnelle (OT). ### Versions affectées La version suivante de **ScadaBR** est affectée : * ScadaBR 1.2.0 (**CVE-2026-8602**, **CVE-2026-8603**, **CVE-2026-8604**, **CVE-2026-8605**) ### Répartition des vulnérabilités Les vulnérabilités comprennent l'absence d'authentification pour les fonctions critiques, l'injection de commandes OS, le CSRF (Cross-Site Request Forgery) et l'utilisation d'identifiants codés en dur. Un score CVSS v3 de 9.1 indique la gravité de ces failles. | CVSS | Vendor | Equipment | Vulnérabilités | | :----- | :-------- | :-------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | v3 9.1 | ScadaBR | ScadaBR | Absence d'authentification pour les fonctions critiques, mauvaise neutralisation des éléments spéciaux utilisés dans une commande OS ('OS Command Injection'), Cross-Site Request Forgery (CSRF), utilisation d'identifiants codés en dur | ### Impact sur les infrastructures critiques **ScadaBR** est déployé dans divers secteurs d'infrastructures critiques, notamment : * Fabrication critique * Barrages * Chimie * Énergie * Eau et eaux usées Son utilisation généralisée fait de ces vulnérabilités une préoccupation majeure pour les organisations du monde entier. ### Analyse détaillée des vulnérabilités #### CVE-2026-8602 : Absence d'authentification pour les fonctions critiques Cette vulnérabilité permet à un attaquant non authentifié d'envoyer des requêtes HTTP GET au système SCADA et d'injecter des lectures de capteurs arbitraires. Cela pourrait entraîner une manipulation des données, des états système incorrects et des décisions opérationnelles potentiellement dangereuses. [Voir les détails CVE](https://www.cve.org/CVERecord?id=CVE-2026-8602) * **Produit affecté :** ScadaBR 1.2.0 * **CWE :** [CWE-306 Absence d'authentification pour les fonctions critiques](https://cwe.mitre.org/data/definitions/306.html) #### CVE-2026-8604 : Cross-Site Request Forgery (CSRF) Une vulnérabilité CSRF permet à un attaquant de déclencher toute action authentifiée via la session d'une victime en incitant un utilisateur connecté à visiter une page Web malveillante. Cela pourrait permettre aux attaquants de modifier les configurations du système, de contrôler des appareils ou d'effectuer d'autres actions non autorisées. [Voir les détails CVE](https://www.cve.org/CVERecord?id=CVE-2026-8604) * **Produit affecté :** ScadaBR 1.2.0 * **CWE :** [CWE-352 Cross-Site Request Forgery (CSRF)](https://cwe.mitre.org/data/definitions/352.html) #### CVE-2026-8605 : Utilisation d'identifiants codés en dur Cette vulnérabilité permet à un attaquant d'accéder au système SCADA en tant qu'administrateur en raison de la présence d'identifiants codés en dur. Cela offre un contrôle total sur le système, permettant aux attaquants d'effectuer toute action, y compris la manipulation de données, l'arrêt du système et le déploiement de malware. [Voir les détails CVE](https://www.cve.org/CVERecord?id=CVE-2026-8605) * **Produit affecté :** ScadaBR 1.2.0 * **CWE :** [CWE-798 Utilisation d'identifiants codés en dur](https://cwe.mitre.org/data/definitions/798.html) ### Stratégies d'atténuation La **CISA** recommande les mesures défensives suivantes pour minimiser le risque d'exploitation : * Minimiser l'exposition réseau de tous les appareils et systèmes de contrôle, en s'assurant qu'ils ne sont pas accessibles depuis Internet. * Localiser les réseaux de systèmes de contrôle et les appareils distants derrière des pare-feu et les isoler des réseaux d'entreprise. * Lorsque l'accès à distance est requis, utiliser des méthodes plus sécurisées, telles que les réseaux privés virtuels (VPN), en s'assurant qu'ils sont mis à jour vers la version la plus récente disponible. * Effectuer une analyse d'impact et une évaluation des risques appropriées avant de déployer des mesures défensives. * Mettre en œuvre les stratégies de cybersécurité recommandées pour la défense proactive des actifs ICS. ### Rapports et informations supplémentaires Les organisations observant une activité malveillante suspectée doivent suivre les procédures internes établies et signaler leurs conclusions à la **CISA** pour suivi et corrélation avec d'autres incidents. Des conseils d'atténuation supplémentaires et des pratiques recommandées sont publiquement disponibles sur la page Web ICS à l'adresse cisa.gov/ics. [Voir CSAF](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-139-03.json)