Les failles TCP/IP Ripple20, un risque durable pour les dispositifs IoT

le 25/06/2020, par Jon Gold / Network World (adaptation Jean Elyan), Sécurité, 805 mots

Un patch est disponible pour contrer Ripple20, mais la faille de sécurité affectant une bibliothèque TCP/IP utilisée par des millions de dispositifs IoT sera difficile à corriger.

Les failles TCP/IP Ripple20, un risque durable pour les dispositifs IoT

Découverte la semaine dernière, la série de vulnérabilités critiques de sécurité réseau baptisée Ripple20 a secoué le monde de l'IoT. Si la faille de corruption de mémoire expose dangereusement les dispositifs IoT des entreprises équipées, elle est aussi difficile à résoudre. Découverte en septembre 2019 par l'entreprise de sécurité israélienne JSOF, la vulnérabilité Ripple20 affecte les protocoles réseau propriétaires développés par une petite entreprise de l'Ohio appelée Treck et intégrés dans une bibliothèque TCP/IP. « Plusieurs de ces vulnérabilités permettraient l'exécution de codes à distance, et par conséquent le vol de données, les prises de contrôle malveillantes et plus encore », a déclaré JSOF.

Mais le problème ne s'arrête pas là. La bibliothèque TCP/IP affectée pas ces vulnérabilités est utilisée par un grand nombre d'appareils connectés, des appareils médicaux jusqu'aux systèmes de contrôle industriels en passant par les imprimantes, les caméras IP et les systèmes de vidéoconférence. Mais le déploiement et l'application du correctif livré par Treck - il corrige les 19 failles identifiées - n'est pas une mince affaire. Selon JSOF, « des centaines de millions » d'appareils pourraient être affectés. « Or un grand nombre d'entre eux ne sont pas conçus pour recevoir des correctifs à distance », comme l'a déclaré Terry Dunlap, co-fondateur du fournisseur de sécurité ReFirm Labs. En effet, de nombreux obstacles empêchent l'application de patchs, en particulier sur les anciens équipements. « Combien d'appareils de ce genre ont été oubliés dans un placard depuis des années sans jamais être déplacés ou contrôlés ? Ces attaques potentielles sur la pile TCP/IP menacent directement le noyau du réseau de ces appareils », a-t-il ajouté.

Des failles difficiles à détecter

« Savoir si les réseaux d'une entreprise sont affectés ou non par ces failles est en lui-même un défi », a renchéri Brian Kime, analyste senior de Forrester Research. « Les scanners de vulnérabilité des réseaux ont du mal à détecter les failles présentes dans ces bibliothèques », a-t-il déclaré. « Ces failles ne sont pas vraiment visibles et ne se manifestent pas quand une connexion est établie avec l'extérieur ». Pour arriver à savoir si une entreprise utilise des appareils vulnérables, une plongée en profondeur dans la chaîne d'approvisionnement peut s'avérer nécessaire. Pour cela, l'entreprise doit contacter les fournisseurs et les sous-traitants de ses matériels pour savoir s'ils ont utilisé la bibliothèque TCP/IP incriminée dans leur produit. « Il sera difficile de réparer les dispositifs actuels », a ajouté M. Kime. « Parce que cette bibliothèque est intégrée et que les fournisseurs ne fournissent pas le détail de tous les composants logiciels qu'ils mettent dans leurs appareils, il est probable que les entreprises ne pourront pas trouver cette information en consultant simplement le site web du fournisseur ».

Des opérations sont déjà en cours pour réparer les appareils concernés, mais la tâche est gigantesque, car elle implique des dizaines et des dizaines d'entreprises à tous les niveaux de la chaîne d'approvisionnement. Pour savoir si elles sont potentiellement exposées à la vulnérabilité Ripple20, les entreprises devront travailler en étroite collaboration avec les vendeurs, leurs fournisseurs et tous ceux qui auraient pu intervenir dans la chaîne d'approvisionnement du produit. M. Dunlap suggère aux fournisseurs et équipementiers dont les produits utilisent la bibliothèque TCP/IP propriétaire, d'utiliser à la place l'une des nombreuses options open source disponibles. « Une pile propriétaire n'apporte rien de plus que la pile open source déjà existante », a-t-il déclaré. Point rassurant : rien n'indique à ce stade que la vulnérabilité Ripple20 est exploitée. Mais cela pourrait changer, car les acteurs malveillants n'attendent pas longtemps avant de développer des exploits après que les failles ont été rendues publiques. Cependant, M. Dunlap pense qu'ils ne sont pas encore prêts pour profiter de Ripple20.

Identifier les appareils IoT concernés

Heureusement aussi, les équipements les plus critiques affectés par la vulnérabilité et pouvant être ciblés par des attaquants, ne sont pas visibles sur l'Internet en général et n'ont pas de connexion directe avec lui. Ainsi, pour mener une attaque à la Stuxnet, tout à fait possible dans ce cas, l'attaquant devra adopter à peu près les mêmes modalités, soit via « sneakernet » et une clé USB infectée soit en s'appuyant sur une autre technique classique de livraison de malwares. « Beaucoup de ces systèmes embarqués vulnérables à Ripple20 ne sont pas accessibles au public », a-encore déclaré M. Dunlap. « Par contre, ils peuvent être connectés à un Intranet, et si une entreprise est victime d'une attaque de phishing sophistiquée, une intrusion n'est pas impossible ». Dans un post officiel, l'entreprise JSOF a livré des informations supplémentaires sur les appareils IoT pouvant être affectés. Elles peuvent aider les entreprises à identifier leurs appareils et à éviter une violation de données.

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...