Publié le 15 octobre 2025. Deux failles de sécurité jugées critiques ont été découvertes dans des unités de télécommande (RTU) de Red Lion, ouvrant la porte à une prise de contrôle totale des systèmes industriels par des pirates.
- Les vulnérabilités, identifiées sous les codes CVE-2023-40151 et CVE-2023-42770, ont reçu la note maximale de 10/10 sur l’échelle CVSS.
- Ces failles permettent à un attaquant non authentifié d’exécuter des commandes avec les privilèges les plus élevés (root).
- Les appareils concernés sont largement utilisés dans des secteurs sensibles comme l’énergie, le traitement de l’eau et les transports.
Des chercheurs en cybersécurité ont mis en lumière deux brèches majeures au sein des produits RTU (Remote Terminal Unit) de Red Lion, une marque spécialisée dans l’automatisation industrielle. Ces défaillances, s’ils parviennent à les exploiter, pourraient permettre à des acteurs malveillants de prendre le contrôle total des systèmes, y compris l’exécution de code arbitraire avec les autorisations maximales.
Les lacunes en question, désignées par les identifiants CVE-2023-40151 et CVE-2023-42770, sont particulièrement préoccupantes car elles ont obtenu la note maximale de 10 sur l’échelle de gravité CVSS, indiquant un risque extrêmement élevé. Selon le rapport de Claroty Team 82, les RTU des séries SixTRAK et VersaTRAK de Red Lion sont affectées, et un attaquant n’ayant même pas besoin de s’authentifier pourrait exécuter des commandes au niveau administrateur.
Ces RTU jouent un rôle crucial dans de nombreux systèmes d’automatisation industrielle. Ils sont utilisés pour la collecte de données, le contrôle et l’automatisation dans des secteurs vitaux tels que la production d’énergie, la gestion de l’eau et des eaux usées, les infrastructures de transport et l’industrie manufacturière. La configuration de ces appareils se fait généralement via un utilitaire Windows, le Sixnet IO Tool Kit, qui communique avec les RTU grâce à un protocole dit « Universel ».
Une couche d’autorisation utilisateur est censée sécuriser l’ensemble, gérant les fichiers, les informations de station et les versions logicielles via le protocole UDP. Cependant, Claroty a identifié deux vulnérabilités qui compromettent cette sécurité :
- CVE-2023-42770 : Cette faille d’ ένα contournement d’authentification exploite le fait que les RTU Sixnet écoutent sur le même port (UDP et TCP). Alors que le protocole UDP exige une vérification, le protocole TCP accepte les communications sans authentification préalable.
- CVE-2023-40151 : Liée au pilote universel Sixnet (UDR), cette vulnérabilité permet l’exécution de commandes shell Linux à distance. Elle tire parti de la capacité du système à exécuter des commandes arbitraires avec les privilèges root.
En combinant ces deux failles, un pirate pourrait facilement contourner les mesures de sécurité pour exécuter des commandes et prendre le contrôle à distance. Red Lion, dans un avis de sécurité publié en juin 2025, a confirmé que les messages envoyés via TCP/IP étaient acceptés sans vérification d’authentification lorsque le système UDR était activé, permettant ainsi l’exécution de commandes avec les plus hauts privilèges.
Les utilisateurs de ces équipements sont fortement incités à appliquer les correctifs dès que possible. Il est également recommandé d’activer l’authentification utilisateur sur les RTU Red Lion et de restreindre l’accès via le protocole TCP aux appareils concernés.
La CISA (Cybersecurity and Infrastructure Security Agency) américaine a publié en novembre 2023 une alerte détaillant les produits affectés par ces failles :
- ST-IPm-8460 : firmware 6.0.202 et versions ultérieures
- ST-IPm-6350 : firmware 4.9.114 et versions ultérieures
- VT-mIPm-135-D : firmware 4.9.114 et versions ultérieures
- VT-mIPm-245-D : firmware 4.9.114 et versions ultérieures
- VT-IPm2m-213-D : firmware 4.9.114 et versions ultérieures
- VT-IPm2m-113-D : firmware 4.9.114 et versions ultérieures
Claroty souligne que « les RTU de Red Lion jouent un rôle significatif dans de nombreux environnements d’automatisation industrielle, et un attaquant ayant accès aux appareils et capable d’exécuter des commandes en tant que root ouvre des possibilités importantes de perturbation ou de dommages aux processus ».