Le Department of Homeland Security et CISA ICS-CERT aujourd’hui Publié une sécurité critique consultatif avertissement concernant plus d’une douzaine de vulnérabilités récemment découvertes affectant des milliards d’appareils connectés à Internet fabriqués par de nombreux fournisseurs à travers le monde.
Surnommé « Ondulation20, «l’ensemble des 19 vulnérabilités réside dans une bibliothèque de logiciels TCP / IP de bas niveau développée par Treck, qui, si elle était armée, pourrait permettre aux attaquants distants d’avoir un contrôle complet sur les appareils ciblés, sans aucune intervention de l’utilisateur.
Selon la société israélienne de cybersécurité JSOF, qui a découvert ces failles, les appareils concernés sont utilisés dans divers secteurs, allant des appareils domestiques / grand public au médical, aux soins de santé, aux centres de données, aux entreprises, aux télécommunications, au pétrole, au gaz, au nucléaire, aux transports, etc. d’autres dans les infrastructures critiques.
« Juste quelques exemples: des données pourraient être dérobées d’une imprimante, un comportement de pompe à perfusion modifié ou des dispositifs de contrôle industriels pourraient être mis en panne. Un attaquant pourrait cacher un code malveillant dans des dispositifs embarqués pendant des années », ont déclaré les chercheurs dans un rapport partagé avec The Hacker News.
« L’une des vulnérabilités pourrait permettre l’entrée de l’extérieur dans les limites du réseau; ce n’est qu’un petit avant-goût des risques potentiels. »
Il existe quatre vulnérabilités critiques dans la pile Treck TCP / IP, avec des scores CVSS supérieurs à 9, qui pourraient permettre aux attaquants d’exécuter du code arbitraire sur des périphériques ciblés à distance, et un bogue critique affecte le protocole DNS.
«Les 15 autres vulnérabilités présentent des degrés de gravité divers avec un score CVSS allant de 3,1 à 8,2 et des effets allant du déni de service à une éventuelle exécution de code à distance», indique le rapport.
Certaines failles Ripple20 ont été corrigées par Treck ou les fabricants de périphériques au fil des ans en raison des changements de code et de la configurabilité de Stack, et pour la même raison, de nombreuses failles ont également plusieurs variantes qui ne seraient apparemment pas corrigées de sitôt jusqu’à ce que les fournisseurs effectuent une évaluation complète des risques. .
- CVE-2020-11896 (score de base CVSS v3 10,0): Gestion incorrecte de l’incohérence du paramètre de longueur dans le composant IPv4 / UDP lors du traitement d’un paquet envoyé par un attaquant du réseau non autorisé. Cette vulnérabilité peut entraîner l’exécution de code à distance.
- CVE-2020-11897 (score de base CVSS v3 10,0): Gestion incorrecte de l’incohérence du paramètre de longueur dans le composant IPv6 lors de la gestion d’un paquet envoyé par un attaquant réseau non autorisé. Cette vulnérabilité peut entraîner une possible écriture hors limites.
- CVE-2020-11898 (score de base CVSS v3 9,8): Gestion incorrecte de l’incohérence du paramètre de longueur dans le composant IPv4 / ICMPv4 lors du traitement d’un paquet envoyé par un attaquant réseau non autorisé. Cette vulnérabilité peut entraîner l’exposition d’informations sensibles.
- CVE-2020-11899 (score de base CVSS v3 9,8): Mauvaise validation d’entrée dans le composant IPv6 lors du traitement d’un paquet envoyé par un attaquant réseau non autorisé. Cette vulnérabilité peut permettre l’exposition d’informations sensibles.
- CVE-2020-11900 (score de base CVSS v3 de 9,3): Possible double free dans le composant de tunneling IPv4 lors du traitement d’un paquet envoyé par un attaquant du réseau. Cette vulnérabilité peut entraîner l’exécution de code à distance.
- CVE-2020-11901 (score de base CVSS v3 9,0): Mauvaise validation d’entrée dans le composant de résolution DNS lors du traitement d’un paquet envoyé par un attaquant réseau non autorisé. Cette vulnérabilité peut entraîner l’exécution de code à distance.
Vous pouvez trouver des détails sur le reste des vulnérabilités dans un avis publié par le gouvernement américain.
Les chercheurs en cybersécurité de JSOF ont rapporté de manière responsable leurs découvertes à la société Treck, qui a ensuite corrigé la plupart des failles avec la sortie de la pile TCP / IP version 6.0.1.67 ou supérieure.
Les chercheurs ont également contacté les fournisseurs de semi-conducteurs et de fabrication d’appareils concernés, notamment:HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter et Quadros – dont beaucoup ont déjà reconnu la faille et les autres sont encore en train de procéder à une évaluation de leurs produits avant d’entrer en bourse.
« La divulgation a été reportée deux fois après que certains des fournisseurs participants ont demandé plus de temps, certains d’entre eux ayant fait état de retards liés au COVID-19. Par considération pour ces entreprises, le délai a été prolongé de 90 à plus de 120 jours. . Même ainsi, certaines des entreprises participantes sont devenues difficiles à gérer, car elles ont fait des demandes supplémentaires, et certaines, de notre point de vue, semblaient beaucoup plus préoccupées par l’image de leur marque que par la correction des vulnérabilités », ont déclaré les chercheurs.
Étant donné que des millions d’appareils ne recevraient pas de mises à jour de correctifs de sécurité pour corriger les vulnérabilités Ripple20 de sitôt, les chercheurs et ICS-CERT ont recommandé aux consommateurs et aux organisations de:
- Minimisez l’exposition du réseau pour tous les dispositifs et / ou systèmes du système de contrôle et assurez-vous qu’ils ne sont pas accessibles depuis Internet.
- Localisez les réseaux du système de contrôle et les périphériques distants derrière les pare-feu et isolez-les du réseau d’entreprise.
En plus de cela, il est également conseillé d’utiliser des réseaux privés virtuels pour connecter en toute sécurité vos appareils à des services cloud via Internet.
Dans son avis, la CISA a également demandé aux organisations concernées d’effectuer une analyse d’impact et une évaluation des risques appropriées avant de déployer des mesures défensives.
Poster un commentaire