Dans une série de blogs, Andrew Lemon aborde la sécurité des systèmes de contrôle de la circulation.

Il a commencé par découvrir des vulnérabilités dans des contrôleurs de trafic, notamment le modèle Intelight X-1, en les testant dans un laboratoire.

Dès les premiers instants de mise en ligne du contrôleur, il a trouvé une faille dans l'interface web, permettant de contourner l'authentification.

Il a pu accéder aux paramètres critiques sans avoir à se connecter, ce qui lui donnait un contrôle total sur le système.

Après avoir signalé cette faille au fabricant, il a reçu une réponse juridique menaçante, rejetant ses découvertes sous prétexte que le produit était en fin de vie.

Face à cette réponse, il a décidé de ne pas répondre, mais de continuer à exposer ses découvertes et de demander un CVE, qu'il a finalement obtenu (CVE-2024-38944).

Il prévoit de continuer à explorer les systèmes de contrôle de la circulation et de montrer pourquoi les vulnérabilités d'authentification sont un problème grave dans ce domaine.

Les équipements de contrôle de la circulation, comme les contrôleurs de feux de circulation, similaires à ceux décrits par Andrew Lemon dans son blog, sont utilisés dans de nombreux pays, y compris en France. Cependant, il est difficile de dire avec certitude si le modèle spécifique, comme le Intelight X-1, est déployé en France sans une analyse plus approfondie des infrastructures locales ou des contrats de fournitures spécifiques.

En France, les systèmes de contrôle de la circulation sont souvent gérés par des entreprises locales ou des fournisseurs européens, et il existe des normes et régulations spécifiques pour leur déploiement. Cependant, il est tout à fait possible que des équipements similaires ou même des versions importées soient en usage, surtout si ces systèmes proviennent de fournisseurs internationaux.

L'essentiel est que les vulnérabilités découvertes dans un type de contrôleur pourraient potentiellement affecter des systèmes similaires déployés ailleurs, y compris en France, si les mêmes normes de sécurité ne sont pas respectées.

La CVE-2024-38944 est une vulnérabilité critique découverte dans le contrôleur de trafic Intelight X-1L, spécifiquement dans la version du logiciel Maxtime v.1.9.6. Cette faille permet à un attaquant distant d'exécuter du code arbitraire en exploitant une faiblesse dans le composant /cgi-bin/generateForm.cgi?formID=142.

Le problème réside dans le fait que ce composant, lorsqu'il est accessible, permet de contourner les mécanismes de sécurité du système, ouvrant ainsi la voie à des actions malveillantes, comme modifier les configurations du contrôleur de trafic ou désactiver des fonctions critiques sans aucune authentification préalable.

Cette vulnérabilité a été rendue publique le 22 juillet 2024 et a reçu une évaluation de 9,8 sur l'échelle CVSS v3, ce qui la classe comme une vulnérabilité "critique", en raison de sa facilité d'exploitation et des impacts potentiels graves, y compris la compromission de la sécurité du trafic routier.

Il est essentiel que les systèmes utilisant ce type de contrôleur soient mis à jour ou protégés pour éviter toute exploitation de cette faille.

Pour plus de détails, vous pouvez consulter les bases de données de vulnérabilités, notamment celles de MITRE et Tenable.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.