Voilà qui ne va pas aider à la reprise, lol, des centaines de millions d'objets connectés, et des machines industrielles vulnérables, oui ça concerne aussi des centrales nucléaires, etc. Bref, et tous ces mamamouchis vous vendent la 5G et les objets connectés comme le mode de vie ultime, hahaha !, et bien comme ça ces afficionados de la High tech seront les premiers servis. Pour le reste, allez savoir, je vous laisse prendre les paris. Notez qu'une nation étrangère hostile peut aussi utiliser ces failles, à votre avis ils sont informés au gouvernement ??? J'attends avec impatience le communiqué de Sibeth Ndya qui va nous expliquer que ce n'est pas grave, les mises à jours c'est comme les masques, ça sert à rien....
Tara Seals
Les vulnérabilités touchent tout, des imprimantes aux pompes à insuline en passant par le matériel de SCI.
Une série de 19 vulnérabilités différentes, dont quatre sont critiques, affectent des centaines de millions d'Internet des objets (IoT) et de dispositifs de contrôle industriel.
Le problème se situe au niveau de la chaîne d'approvisionnement et de la réutilisation du code, les bogues affectant une bibliothèque logicielle TCP/IP développée par Treck et utilisée par de nombreux fabricants. Les chercheurs de la JSOF ont découvert la partie défectueuse du code de Treck, qui est construit pour gérer le protocole TCP-IP omniprésent qui relie les appareils aux réseaux et à l'internet, dans les appareils de plus de 10 fabricants différents - et il est probablement présent dans des dizaines d'autres.
Selon les chercheurs du laboratoire de recherche de la JSOF, le matériel concerné va des imprimantes connectées aux pompes à perfusion médicales et aux équipements de contrôle industriels. Parmi les utilisateurs de Treck, on trouve "des boutiques individuelles de sociétés multinationales du Fortune 500, dont HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter, ainsi que de nombreux autres grands fournisseurs internationaux soupçonnés d'être vulnérables dans les domaines de la médecine, des transports, du contrôle industriel, des entreprises, de l'énergie (pétrole/gaz), des télécommunications, du commerce de détail et d'autres industries", selon la recherche.
"La diffusion à grande échelle de la bibliothèque de logiciels (et de ses vulnérabilités internes) est une conséquence naturelle de l'effet d'entraînement de la chaîne d'approvisionnement", ont déclaré les chercheurs dans un article publié mardi. "Un seul élément vulnérable, bien qu'il puisse être relativement petit en soi, peut se répercuter sur un large éventail d'industries, d'applications, d'entreprises et de personnes."
Ces failles, appelées Ripple20, comprennent quatre vulnérabilités d'exécution de code à distance. Si elles sont correctement exploitées, les données peuvent être volées d'une imprimante, ou le comportement d'un appareil médical peut être altéré, ou des dispositifs de contrôle industriels peuvent être mis hors service.
"Un attaquant pourrait cacher du code malveillant dans des appareils embarqués pendant des années. L'une des vulnérabilités pourrait permettre l'entrée de l'extérieur dans les limites du réseau ; et ce n'est qu'un petit aperçu des risques potentiels", selon la JSOF.
Détails sur la vulnérabilité
Les bugs de Ripple20 comportent quatre défauts critiques. Il s'agit notamment du CVE-2020-11896, avec une note de base de 10 sur 10 sur l'échelle de gravité CVSS, qui peut être déclenché par l'envoi de plusieurs paquets IPv4 malformés à un appareil prenant en charge le tunneling IPv4.
"Il affecte tout appareil exécutant Treck avec une configuration spécifique", selon la JSOF. "Il peut permettre une exécution stable du code à distance et a été démontré sur un appareil de Digi International. Des variantes de ce problème peuvent être déclenchées pour provoquer un déni de service ou un déni de service persistant, nécessitant une réinitialisation définitive".
Le bogue critique suivi sous le nom de CVE-2020-11897 présentait également une gravité de 10 sur 10, et c'est une faille d'écriture hors limites qui peut être déclenchée par l'envoi de plusieurs paquets IPv6 malformés à un appareil. Il affecte tout appareil utilisant une ancienne version de Treck avec support IPv6, et était auparavant corrigé lors d'un changement de code de routine. Il peut potentiellement permettre une exécution stable du code à distance, selon l'écriture.
Un autre bogue critique, le CVE-2020-11901, se classe 9 sur 10 sur l'échelle de gravité et peut être déclenché en répondant à une seule requête DNS faite depuis l'appareil. Il peut permettre à un attaquant d'infiltrer le réseau, d'exécuter du code et de prendre le contrôle du dispositif avec une seule vulnérabilité, en contournant toutes les mesures de sécurité.
"Il affecte tout appareil exécutant Treck avec le support DNS et nous avons démontré qu'il peut être utilisé pour exécuter du code à distance sur un APC UPS de Schneider Electric", selon le JSOF. "A notre avis, il s'agit de la plus grave des vulnérabilités, malgré un score CVSS de 9, en raison du fait que les requêtes DNS peuvent quitter le réseau dans lequel l'appareil est situé, et qu'un attaquant sophistiqué peut être en mesure d'utiliser cette vulnérabilité pour prendre le contrôle d'un appareil en dehors du réseau par l'empoisonnement du cache DNS, ou par d'autres méthodes."
Le dernier bogue critique est le CVE-2020-11898, classé 9.1, qui est un bogue d'incohérence des paramètres de longueur dans le composant IPv4/ICMPv4, lors du traitement d'un paquet envoyé par un attaquant réseau non autorisé. Elle peut permettre la divulgation d'informations.
Les autres défauts vont des bogues de haute gravité 8.2 (tels que le CVE-2020-11900, un défaut sans utilisation après coup) aux problèmes de validation d'entrée incorrecte de faible gravité (tels que le CVE-2020-11913, d'une gravité de 3.7 seulement).
"Les 15 autres vulnérabilités ont des degrés de gravité variés, avec un score CVSS allant de 3,1 à 8,2, et des effets allant du déni de service à l'exécution potentielle de code à distance", a déclaré la firme. "La plupart des vulnérabilités sont de véritables "zéros days", quatre d'entre elles ayant été fermées au fil des ans dans le cadre de modifications de routine du code, mais sont restées ouvertes dans certains des dispositifs concernés (trois de moindre gravité, une de plus grande gravité). De nombreuses vulnérabilités ont plusieurs variantes en raison de la configurabilité de la pile et des changements de code au fil des ans."
L'exploitation efficace peut entraîner une série de mauvais résultats, a averti le cabinet de recherche, comme la prise de contrôle à distance des appareils et le déplacement latéral au sein du réseau compromis ; les attaques par diffusion qui peuvent prendre le contrôle de tous les appareils touchés du réseau simultanément ; la dissimulation dans un appareil infecté pour une reconnaissance furtive ; et le contournement des protections de traversée d'adresse réseau (NAT).
La JSOF donnera plus de détails sur les vulnérabilités lors de l'événement virtuel de Black Hat USA en août.
Jonathan Knudsen, stratégiste principal en matière de sécurité, Synopsys, a noté que les révélations de Ripple20 illustrent les difficultés endémiques du développement de logiciels.
"Premièrement, la sécurité doit être intégrée à chaque partie du développement de logiciels : De la modélisation des menaces lors de la conception aux tests de sécurité automatisés pendant la mise en œuvre, chaque phase du développement de logiciels doit impliquer la sécurité", a-t-il déclaré par courrier électronique. "Deuxièmement, les organisations qui créent des logiciels doivent gérer leurs composants tiers. La principale raison des effets de grande portée des vulnérabilités de Ripple20 est qu'il s'agit de vulnérabilités dans un composant de réseau utilisé par de nombreuses organisations dans de nombreux produits. Chaque organisme de développement de logiciels doit comprendre les composants tiers qu'il utilise afin de minimiser le risque qu'ils représentent."
Correctifs et mesures d'atténuation
Treck a publié un patch à l'usage des OEM dans la dernière version de la pile de Treck (6.0.1.67 ou plus). Le défi consiste maintenant pour ces entreprises à le mettre en œuvre. Outre les avis du SCI CERT, du CERTCC et du JPCERT/CC, Intel et HP ont également émis des alertes.
"Bien que la meilleure réponse puisse être d'installer le patch original de Treck, il existe de nombreuses situations dans lesquelles l'installation du patch original n'est pas possible", selon l'analyse du JSOF. "Les CERT s'efforcent de développer des approches alternatives qui peuvent être utilisées pour minimiser ou éliminer efficacement le risque, même si le rapiéçage n'est pas une option".
Comme il s'agit d'un problème de chaîne d'approvisionnement, les produits concernés devraient pouvoir se mettre à jour, a ajouté M. Knudsen - ce qui n'est pas toujours la norme dans les secteurs de l'IdO et du contrôle industriel.
"L'utilisation de pratiques de développement sûres et la gestion de composants tiers se traduiront par des mises à jour moins nombreuses et moins fréquentes", a-t-il expliqué. "Néanmoins, il y aura toujours des problèmes et des mises à jour seront toujours nécessaires. Les systèmes et les dispositifs doivent pouvoir se mettre à jour en toute sécurité, et le fabricant doit s'engager à maintenir le logiciel pendant une période de temps clairement définie".
Sur la base des avis du CERT/CC et de la CISA ICS-CERT, si les équipements ne peuvent pas être réparés, les administrateurs doivent réduire au minimum l'exposition au réseau des appareils embarqués et critiques, en veillant à ce que les appareils ne soient pas accessibles depuis l'internet, sauf en cas d'absolue nécessité. En outre, les réseaux et les dispositifs technologiques opérationnels doivent être séparés derrière des pare-feu et isolés de tout réseau d'entreprise.
Les utilisateurs peuvent également prendre des mesures pour bloquer le trafic IP anormal, utiliser un filtrage préventif du trafic, normaliser le DNS par le biais d'un serveur récursif sécurisé ou d'un pare-feu d'inspection du DNS et/ou fournir une sécurité DHCP/DHCPv6, avec des fonctionnalités telles que l'espionnage DHCP, selon les CERT.
"La bibliothèque de logiciels s'est largement répandue, à tel point que sa localisation a constitué un défi majeur", ont conclu les chercheurs. "En suivant la piste de distribution de la bibliothèque TCP/IP de Treck, nous avons découvert qu'au cours des deux dernières décennies, ce logiciel de base pour les réseaux s'est répandu dans le monde entier, par une utilisation directe et indirecte. En tant que vecteur de diffusion, la chaîne d'approvisionnement complexe constitue le canal parfait, permettant à la vulnérabilité originelle de s'infiltrer et de se camoufler presque sans fin".
Source : Threatpost.com
Information complémentaire :
Crashdebug.fr : Le vol des secrets de la « chambre forte n°7 » de la CIA lié à une sécurité « lamentablement laxiste » (Threatpost.com)
