Les vulnérabilités Ripple20 hanteront le paysage de l’IoT pour les années à venir

Spread the love
Les vulnérabilités Ripple20 hanteront le paysage de l'IoT pour les années à venir

Des experts en cybersécurité ont révélé hier 19 vulnérabilités dans une petite bibliothèque conçue dans les années 90 qui a été largement utilisée et intégrée dans d’innombrables objets connectés grand public et professionnels au cours des 20 dernières années.

Le nombre de produits concernés est estimé à “des centaines de millions” et comprend des produits tels que des appareils domestiques intelligents, des équipements de réseau électrique, des systèmes de santé, les équipements industriels, les systèmes de transport, des imprimantes, des routeurs, des équipements de communication mobiles / satellites et bien d’autres.

Les experts craignent désormais que les produits utilisant cette bibliothèque restent très probablement non corrigés en raison des complexités de mise à jour des systèmes.

Ces vulnérabilités découlent du fait que la bibliothèque a été non seulement utilisée directement par les fournisseurs d’équipement, mais également intégrée dans d’autres suites logicielles, ce qui signifie que de nombreuses entreprises ne savent même pas qu’elles utilisent ce morceau de code particulier et le nom du la bibliothèque vulnérable n’apparaît pas dans leurs manifestes de code.

publicité

Les vulnérabilités de Ripple20

Ces vulnérabilités – collectivement appelées Ripple20 – affectent une petite bibliothèque développée par la société de logiciels Treck basée à Cincinnati.

La bibliothèque, qui aurait été publiée pour la première fois en 1997, implémente une pile TCP / IP légère. Les entreprises utilisent cette bibliothèque depuis des décennies pour permettre à leurs appareils ou logiciels de se connecter à Internet via des connexions TCP/IP.

Depuis septembre 2019, les chercheurs de JSOF, une petite société de conseil en cybersécurité située à Jérusalem, en Israël, examinent la pile TCP / IP de Treck, en raison de sa large empreinte sur le marché des appareils industriels, de la santé et des appareils intelligents.

Leur travail a mis au jour de graves vulnérabilités, et l’équipe JSOF a travaillé avec les CERT (équipes d’intervention en cas d’urgence informatique) de différents pays pour coordonner le processus de divulgation et de correction des vulnérabilités.

Dans une interview avec ZDNet la semaine dernière, l’équipe JSOF a déclaré que cette opération impliquait beaucoup de travail et différentes étapes, telles que la prise de contact avec Treck, s’assurer que Treck puisse diffuser des correctifs à temps, puis trouver les équipements vulnérable et prendre contact avec chacun des fournisseurs touchés.

Ces efforts ont été couronnés de succès, a déclaré à ZDNet Shlomi Oberman, directeur général de la JSOF. Oberman a remercié le CERT / CC d’avoir joué un rôle majeur dans la coordination du processus de divulgation des vulnérabilités avec tous les fournisseurs concernés.

Treck, bien que réticent au début et pensant qu’il a faisait l’objet d’une tentative d’extorsion, est désormais pleinement impliqué, a déclaré Oberman.

Dans un e-mail à ZDNet lundi, Treck a confirmé que les correctifs sont désormais disponibles pour toutes les vulnérabilités de Ripple20.

Le travail sur Ripple20 n’est pas terminé

Mais JSOF a déclaré que le travail d’identification de tous les appareils vulnérables n’était pas encore terminé. Les chercheurs ont déclaré qu’ils nommaient les 19 vulnérabilités Ripple20 non pas parce qu’elles étaient 20 vulnérabilités au début, mais en raison de l’effet de vague (ripple, ndlr) qu’elles provoqueront dans le paysage de l’IoT en 2020 et dans les années à venir.

Les chercheurs disent qu’ils n’ont fait qu’effleurer la surface du problème : en essayant d’identifier tous les appareils qui ont implémenté la bibliothèque TCP/IP de Treck, et que de nombreux fournisseurs d’équipements devront vérifier leur propre code à l’avenir.

Oberman explique que toutes les vulnérabilités de Ripple20 ne sont pas graves, mais certaines sont extrêmement dangereuses, permettant aux attaquants de prendre le contrôle des systèmes vulnérables à distance.

Dans un avis de sécurité qui sera mis en ligne aujourd’hui et examiné par ZDNet sous embargo, le département américain de la Sécurité intérieure a attribué des notes de 10 et 9,8 sur l’échelle de gravité de la vulnérabilité CVSSv3 (l’échelle va de 1 à 10) à quatre des vulnérabilités Ripple 20.

Celles-ci sont:

CVE-2020-11896 – Score CVSSv3: 10 – Mauvaise gestion de l’incohérence des paramètres de longueur dans le composant IPv4 / UDP lors de la manipulation d’un paquet envoyé par un attaquant non autorisé sur le réseau. Cette vulnérabilité peut entraîner l’exécution de code à distance.

CVE-2020-11897- Score CVSSv3: 10 – Traitement incorrect de l’incohérence des paramètres de longueur dans le composant IPv6 lors de la gestion d’un paquet envoyé par un attaquant non autorisé sur le réseau. Cette vulnérabilité peut entraîner une écriture possible en dehors des limites.

CVE-2020-11898 – Score CVSSv3: 9,8 – Traitement incorrect de l’incohérence des paramètres de longueur dans le composant IPv4 / ICMPv4 lors de la gestion d’un paquet envoyé par un attaquant non autorisé sur le réseau. Cette vulnérabilité peut entraîner l’exposition d’informations sensibles.

CVE-2020-11899 – Score CVSSv3: 9,8 – Validation d’entrée incorrecte dans le composant IPv6 lors de la manipulation d’un paquet envoyé par un attaquant non autorisé sur le réseau. Cette vulnérabilité peut permettre l’exposition d’informations sensibles.

Ces quatre vulnérabilités, lorsqu’elles sont exploitées, peuvent permettre aux attaquants de prendre facilement le contrôle d’objets connectés ou d’équipement industriel ou de santé. Des attaques sont possibles via Internet si les appareils sont connectés en ligne, ou depuis des réseaux locaux si l’attaquant prend pied sur un réseau interne (par exemple, via un routeur compromis).

Ces quatre vulnérabilités sont idéales pour les opérateurs de botnet, mais aussi pour les attaques ciblées. Tester tous les systèmes pour les vulnérabilités Ripple20 et corriger ces quatre problèmes devrait être une priorité pour toutes les entreprises, principalement en raison de la présence importante de Treck dans le paysage logiciel.

L’impact des vulnérabilités Ripple20 devrait être similaire à celui des vulnérabilités Urgent/11 qui ont été divulguées en juillet 2019, et qui sont toujours à l’étude à ce jour. De nouveaux appareils vulnérables sont détectés et corrigés régulièrement. La comparaison n’est pas accidentelle, car les vulnérabilités Urgent/11 ont eu un impact sur la pile réseau TCP / IP (IPnet) du système d’exploitation en temps réel VxWorks, un autre produit largement utilisé dans l’IoT et le paysage industriel.

Tout comme dans le cas d’Urgent/11, certains produits ne seront pas patchés, car certains sont en fin de vie ou les fournisseurs ont entre-temps céssé leurs opérations. J

SOF a été invité à parler de ces vulnérabilités lors de la conférence de sécurité Black Hat USA 2020.

US-CERT, CERT/CC et Treck ont ​​également publié des avis contenant des détails sur les vulnérabilités et des conseils d’atténuation.

Source : ZDNet.com

Leave a Reply