Ripple 20 : cataclysme réseau dans l’IOT

Les appareils disposant d’une version 6.0.1.66 ou supérieure de la librairie Treck IP stack ne seraient pas impactés par l’ensemble des vulnérabilités, même si certaines d’entre elles ont été corrigées dans des versions antérieures.

Il reste maintenant une question en suspens : quels constructeurs ont déjà patché ?

Il est encore à l’heure actuelle, très difficile de déterminer tous les appareils concernés par cette collection de vulnérabilités. Même si les chercheurs à l’origine de cette découverte proposent déjà une liste de constructeurs d’appareils dont la vulnérabilité est confirmée ou potentielle, le recensement va être un véritable calvaire, sans compter les constructeurs qui risquent de cacher la poussière sous le tapis. À noter que le CERTCC propose également une liste de constructeurs avec le détail des vulnérabilités associées [4].

La société JSOF propose de fournir des scripts permettant de déterminer la vulnérabilité d’un appareil sur « simple » demande par courriel.La société Treck propose également d’aider à déterminer le niveau d’impact des appareils utilisant sa solution [5].
Pour nous, pauvres RSSI du secteur de la santé, il ne va pas être simple de déterminer tous les appareils potentiellement vulnérables dans nos SIH. Entre dispositifs médicaux, imprimantes, onduleurs, gtc / gtb, tv, réseau etc... Si la société JSOF, partage ses scripts de détection des vulnérabilités avec les constructeurs pour l’instant, je ne sais pas si elle acceptera de les laisser entre les mains de n’importe qui…

En attendant d’en savoir plus, CERTCC propose des solutions d’atténuation [6], ainsi qu’une règle Suricata permettant de détecter une exploitation éventuelle de plusieurs de ces vulnérabilités [7].

Côté dispositifs médicaux, la société B. Braun a confirmé le 12/06/202 qu’une gamme de ses pompes à perfusion était vulnérable [8]. Nous pouvons donc les en féliciter, plutôt que les blâmer car cela veut dire qu’ils les ont prises en compte.

Ces vulnérabilités affectent la pile TCP/IP, ce qui veut dire que tout appareil vulnérable connecté au réseau est susceptible d’être impacté. La configuration des réseaux et les mécanismes de protection peuvent évidemment atténuer l’exploitation.
Parmi les risque observés, c’est du lourd : exécution de code arbitraire à distance, déni de service à distance, atteinte à l'intégrité des données, et atteinte à la confidentialité des données… autant dire LA TOTALE.

Les chercheurs proposent une vidéo de démonstration d’une attaque réalisée sur un onduleur [9].

Dans un avis publié le 17/06/2020 [10], le CERT-FR identifie les trois vulnérabilités les plus critiques ainsi :

• CVE-2020-11896 : des datagrammes UDP fragmentés sur plusieurs paquets IP peuvent permettre un exécution de code arbitraire à distance ou un déni de service à distance sur des équipements avec une fonction d'IP Tunneling activée
• CVE-2020-11897 : des paquets IPv6 mal formés permettent une exécution de code arbitraire à distance
• CVE-2020-11901 : une réponse DNS mal formée permet une exécution de code arbitraire à distance.

Vous aussi vous sentez revenir les insomnies ?

[1] https://www.jsof-tech.com/ripple20/

[2] https://treck.com/pdf/truser40e.pdf

[3] https://www.blackhat.com/us-20/briefings/schedule/index.html#hacking-the-supply-chain--vulnerabilities-haunt-tens-of-millions-of-critical-devices-19493

[4] https://www.kb.cert.org/vuls/id/257161

[5] https://treck.com/vulnerability-response-information/

[6] https://github.com/CERTCC/PoC-Exploits/blob/master/vu-257161/recommendations.md

[7] https://github.com/CERTCC/PoC-Exploits/blob/master/vu-257161/vu-257161.rules

[8] https://www.bbraunusa.com/content/dam/b-braun/us/website/customer_communications/Skyline%20Response_Outlook_6.9.2020_FINAL1.pdf

[9] https://youtu.be/jkfNE_Twa1s

[10] https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-375/