Envoi international rapide
Certification d'entreprise ISO 9001/27001
Des experts certifiés par les fabricants pour votre projet
Ripple20 - Une faille de sécurité dangereuse découverte dans d'innombrables appareils
Nozomi
Des chercheurs de l'entreprise de sécurité israélienne JSOF ont découvert 19 failles de sécurité dans la bibliothèque logicielle TCP/IP de bas niveau de la société Treck, qui peuvent être exploitées pour détourner ou manipuler des données avec peu d'efforts. Le contrôle complet d'un appareil est également possible. Les failles de sécurité ont un score CVSSv3 allant jusqu'à 10, ce qui correspond à une faille d'exécution de code à distance. Cela signifie qu'il est possible d'exécuter du code arbitraire sur un appareil à distance, c'est-à-dire via Internet, sans qu'aucune activité ne soit nécessaire de la part de l'utilisateur/opérateur.
Les CVE correspondantes sont les suivantes :
| CVE ID | CSSv3 Valeur | Description |
| CVE-2020-11896 | 10 | Cette vulnérabilité peut être exploitée en envoyant plusieurs paquets IPv4 malformés à un périphérique qui prend en charge le tunneling IPv4. Elle affecte tout appareil exécutant Treck avec une configuration particulière. Elle peut permettre une exécution de code à distance stable et a été démontrée sur un appareil Digi International. Des variantes de cette vulnérabilité peuvent être exploitées pour provoquer un déni de service persistant, nécessitant une réinitialisation matérielle de l'appareil. |
| CVE-2020-11897 | 10 | Cette vulnérabilité peut être exploitée en envoyant plusieurs paquets IPv6 malformés à un appareil. Elle affecte tout appareil exécutant une ancienne version de Treck prenant en charge IPv6. Elle peut éventuellement permettre l'exécution de code à distance. |
| CVE-2020-11901 | 9 | Cette vulnérabilité peut être exploitée en répondant à une seule requête DNS de l'appareil. Elle affecte tout périphérique exécutant Treck avec le support DNS, et il a été démontré qu'elle peut aussi être utilisée pour exécuter du code à distance sur un onduleur APC de Schneider Electric. Malgré un score CVSS de 9,0, il s'agit d'une des vulnérabilités les plus graves, car les requêtes DNS peuvent quitter le réseau sur lequel se trouve l'appareil et un attaquant sophistiqué peut utiliser cette vulnérabilité pour prendre le contrôle d'un appareil depuis l'extérieur du réseau par empoisonnement du cache DNS ou d'autres méthodes. Un attaquant peut ainsi s'introduire dans le réseau et prendre le contrôle de l'appareil en contournant toutes les mesures de sécurité. |
| CVE-2020-11898 | 9,1 | Le paquet malformé est presque entièrement conforme au RFC, de sorte qu'il sera probablement difficile pour les produits de sécurité tels que les pare-feu de détecter cette vulnérabilité. Sur les très anciennes versions de la pile Treck, qui fonctionnent encore sur certains appareils, l'ID de transaction n'est pas randomisé, ce qui facilite l'attaque. |
| CVE-2020-11900 | 8,2 | Gestion incorrecte de l'incohérence des paramètres de longueur (CWE-130) dans le composant IPv4/ICMPv4 lors du traitement d'un paquet envoyé par un attaquant réseau non autorisé. Possibilité de divulgation d'informations sensibles (CWE-200). |
| CVE-2020-11902 | 7,3 | Possibilité de double free (CWE-415) dans le composant tunnel IPv4 lors du traitement d'un paquet envoyé par un attaquant réseau. Utilisation après libération (CWE-416) |
| CVE-2020-11904 | 5,6 | Validation d'entrée incorrecte (CWE-20) dans le composant de tunnel IPv6OverIPv4 lors du traitement d'un paquet envoyé par un attaquant réseau non autorisé. Possibilité de lecture hors limites (CWE-125) |
| CVE-2020-11899 | 5,4 | Possibilité de débordement d'entier ou de wraparound (CWE-190) dans le composant d'allocation de mémoire lors du traitement d'un paquet envoyé par un attaquant réseau non autorisé Possibilité d'écriture hors limites (CWE-787) |
| CVE-2020-11903 | 5,3 | Validation d'entrée incorrecte (CWE-20) dans le composant IPv6 lors de la gestion d'un paquet envoyé par un attaquant réseau non autorisé . Possibilité de lecture hors limites (CWE-125) et de refus de service (Denial of Service). |
| CVE-2020-11905 | 5,3 | Lecture out-of-bounds possible (CWE-125) dans le composant DHCP lors du traitement d'un paquet envoyé par un attaquant réseau non autorisé. Possibilité de divulgation d'informations sensibles (CWE-200). |
| CVE-2020-11906 | 5 | Validation incorrecte de l'entrée (CWE-20) dans le composant de la couche liaison Ethernet à partir d'un paquet envoyé par un utilisateur non autorisé. Sous-exécution en nombre entier (CWE-191) |
| CVE-2020-11907 | 5 | Gestion inappropriée de l'incohérence des paramètres de longueur (CWE-130) dans le composant TCP à partir d'un paquet envoyé par un attaquant réseau non autorisé. Sous-exécution en nombre entier (CWE-191) |
| CVE-2020-11909 | 3,7 | Validation d'entrée incorrecte (CWE-20) dans le composant IPv4 lors du traitement d'un paquet envoyé par un attaquant réseau non autorisé. Sous-exécution en nombre entier (CWE-191) |
| CVE-2020-11910 | 3,7 | Validation d'entrée incorrecte (CWE-20) dans le composant ICMPv4 lors du traitement d'un paquet envoyé par un attaquant réseau non autorisé. Lecture hors limites possible (CWE-125) |
| CVE-2020-11911 | 3,7 | Contrôle d'accès non autorisé (CWE-284) dans le composant ICMPv4 lors de la gestion d'un paquet envoyé par un attaquant réseau non autorisé. Attribution incorrecte des autorisations pour une ressource critique (CWE-732). |
| CVE-2020-11912 | 3,7 | Validation incorrecte de l'entrée (CWE-20) dans le composant TCP lors de la gestion d'un paquet envoyé par un attaquant réseau non autorisé. Possibilité de lecture hors limites (CWE-125). |
| CVE-2020-11913 | 3,7 | Validation d'entrée incorrecte (CWE-20) dans le composant IPv6 lors de la gestion d'un paquet envoyé par un attaquant réseau non autorisé. Lecture hors limite possible (CWE-125) |
| CVE-2020-11914 | 3,1 |
Validation d'entrée incorrecte (CWE-20) dans le composant ARP lors de la gestion d'un paquet envoyé par un attaquant réseau non autorisé. |
| CVE-2020-11908 | 3,1 |
Terminaison nulle non autorisée (CWE-170) dans le composant DHCP lors de la gestion d'un paquet envoyé par un attaquant réseau non autorisé. |
Ces vulnérabilités ont été corrigées dans la version 6.0.1.67 de la bibliothèque logicielle, publiée le 3 mars 2020. Malheureusement, l'utilisateur final n'est généralement pas en mesure de mettre à jour lui-même cette bibliothèque logicielle. Dans ce cas, une mise à jour manuelle de la part du fabricant est nécessaire.
Quels sont les appareils concernés par Ripple20 ?
C'est une bonne question, à laquelle il n'y a malheureusement pas encore de réponse suffisante. En principe, tout produit doté de cette bibliothèque logicielle est concerné. Il peut s'agir d'une simple imprimante, d'un composant de maison intelligente comme par exemple une prise de courant télécommandée ou même de certaines machines industrielles. En outre, certains avions et satellites sont également concernés. La question devrait plutôt être de savoir quels appareils ne sont pas concernés par Ripple20 ?
Le fabricant Treck ayant signé un accord de non-divulgation (NDA) avec ses clients, celui-ci n'est pas en mesure de publier une liste de clients. Treck a toutefois contacté tous ses clients, les a informés des failles de sécurité et leur a fourni la version actualisée de la bibliothèque logicielle.
Les chercheurs de JSOF ont eux-mêmes tenté de déterminer quels fabricants étaient concernés et lesquels avaient déjà pris des contre-mesures. La liste suivante est à jour au 18 juin 2020 et ne prétend pas être complète ou correcte. Veuillez contacter le fabricant de vos appareils compatibles IP si vous pensez qu'ils pourraient être concernés par ces failles de sécurité.
Statut : confirmé |
Statut : non concerné selon le fabricant |
| B.Braun | Abbott |
| Baxter | AMD |
| Caterpillar | GE Healthcare |
| Cisco (via Starent) | Laird |
| Green Hills | Philips |
| HP | Texas Instruments |
| HPE | Zebra Technologies |
|
Maxlinear (via HLFN) |
|
| Rockwell | |
| Scandia National Labs | |
| Schneider Electric/ APC | |
| Digi | |
| HCL Tech | |
Statut : Possiblement concerné |
||
| EMC (maintenant Dell) | Guidant medical | SAIC |
| GE general electric (via Quadros) | Hitache europe | ScriptPro |
| NASA | HLFN | Semtech |
| Verifone | Honeywell | Sigma Designs |
| Agilent | Itron | SimCom Wireless |
| Airlinq (via Netsnapper Technologies SARL) | Kadak | Starent Networks |
| Arburg | L-3 Chesapeake Sciences Corporation | Synamedia (via Cisco)/NDSUK |
| Audiocodes | Lockheed Martin | Syncroness |
| BAE systems | Marvell | Technicolor (via Cisco) |
| BD | Maxim Integrated Products | Thinkcom/ThinKom |
| BECK | Memjet | Tollgrade communications |
| Broadcom | MTS Technologies | Ultra Electronics Flightline Systems |
| Capsule (via Digi) | Netafim | Vicom |
| DASAN Zhone (via vpacket) | Netsnapper Technologies SARL | Videotek |
| Datamax Corporation | nVidia (via Portalplayer) | Vocera |
| Enghouse (via tollgrade communications) | Portalplayer | vpacket (maintenant DHASAN Zhone) |
| Extreme Networks | Qualstar.com | Weibel weibel.dk |
| Foundry | Quadros | Western geco |
| Fraunhofer IZFP | Red lion controls | Xilionx |
| Gainspan (telit) | Redcom | Zodiac Aerospace |
Comment minimiser le risque d'être attaqué par Ripple20 ?
La première étape consiste à obtenir une vue d'ensemble complète de son réseau et de tous les appareils qui y sont connectés. Un inventaire complet permet ensuite de déterminer si des appareils concernés se trouvent sur le réseau. Ensuite, il convient de vérifier si des mises à jour sont disponibles pour les appareils.
Parmi les meilleures pratiques générales, il y a bien sûr aussi la procédure standard :
- N'autoriser l'accès des appareils à Internet que si cela est absolument nécessaire.
- Segmentation des réseaux et utilisation de pare-feu entre les réseaux.
- Si possible, n'autoriser que l'accès à distance aux appareils via des connexions VPN sécurisées et cryptées.
Pour l'inventaire et l'analyse de votre réseau et des appareils qui s'y trouvent, il existe une solution de la société Greenbone qui recherche activement ou passivement les failles de sécurité et résume les résultats dans des rapports faciles à comprendre. En outre, la solution peut rechercher automatiquement des appareils dans le réseau et générer une liste d'inventaire conforme à la norme ISO27001.
Pour la surveillance, nous proposons des solutions de Nozomi Networks qui, grâce à des systèmes basés sur l'IA, apprennent comment les appareils se parlent au sein d'un réseau afin de pouvoir, après la phase d'apprentissage, détecter et signaler les anomalies de manière ciblée.
Si vous êtes intéressé par un conseil ou un test des solutions présentées, n'hésitez pas à nous contacter par téléphone, par e-mail ou via notre formulaire de contact.
