
Une série de vulnérabilités découvertes dans une bibliothèque TCP/IP utilisée dans les systèmes embarqués [EDITION ABONNES] Le laboratoire de recherche de la société israélienne JSOF a découvert une série de vulnérabilités dites zero-day (c’est-à-dire n'ayant fait l'objet d'aucune publication ou correctif connu) dans une bibliothèque TCP/IP de bas niveau largement utilisée dans de nombreux systèmes embarqués ...et développée par la société américaine Treck. Les 19 vulnérabilités détectées (), du nom de Ripple20, incluent plusieurs vulnérabilités d'exécution de code à distance et affecteraient des centaines de millions d'appareils. Toujours selon JSOF, les risques inhérents à cette situation sont élevés : des données pourraient être volées directement à partir d’une imprimante, le comportement d'une pompe à perfusion pourrait être modifié à distance, ou des dispositifs de contrôle industriels pourraient être affectés. Un attaquant pourrait ainsi cacher du code malveillant dans les appareils embarqués pendant des années. Et l'une de ces vulnérabilités pourrait permettre l'entrée de l'extérieur dans les limites d'un réseau. Ces faiblesses de la pile TCP/IP ont toutes un rapport avec des problèmes de corruption de mémoire dus à des erreurs dans le traitement des paquets envoyés sur le réseau, quel que soit le protocole utilisé (IPv4, IPv6, IPv6OverIPv4, TCP, UDP…). Sur ce sujet, JSOF a notamment travaillé avec des chercheurs de Forescout. Société spécialiste de la surveillance et de l'évaluation de la sécurité des périphériques connectés dans les entreprises, Forescout vient de publier les résultats d’une enquête qui détaille quels sont les équipements connectés qui font courir aux entreprises le plus de risques en termes de cybersécurité. JSOF et Forescout, en s’appuyant sur les signatures de réseau TCP/IP de la base de connaissance de dispositifs embarqués de JSOF, ont ainsi identifié une dizaine de catégories de produits potentiellement vulnérables (pompes à perfusion, imprimantes, systèmes industriels d'alimentation sans coupure (UPS), terminaux de point de vente, caméras IP, systèmes de visioconférence, dispositifs d'automatisation des bâtiments et systèmes de contrôle industriels). La chose intéressante à noter à propos de Ripple20 est, toujours selon JSOF, l'étendue de son impact, amplifié par les mécanismes de la chaîne d'approvisionnement. Car la très large diffusion de la bibliothèque de logiciels (et de ses vulnérabilités internes) est une conséquence naturelle de “l'effet d'entraînement” (ripple-effect, d’où le nom donné à ces vulnérabilités) de la chaîne d'approvisionnement. Un composant vulnérable unique, bien qu'il puisse être relativement petit en soi, peut ainsi se propager et impacter un nombre élevé d'industries et d'applications. JSOF note ainsi que Ripple20 a atteint des appareils IoT critiques dans un large éventail de domaines (médical, transports, contrôle industriel, énergie, télécommunications) impliquant un groupe très diversifié de fournisseurs. Sont concernés non seulement de petites entreprises mais aussi de grands fournisseurs d’équipements industriels comme HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter... (Certains ont d’ailleurs immédiatement reconnu le problème.) Les ingénieurs de JSOF ont aussi découvert en suivant le parcours de la distribution de la bibliothèque TCP/IP de Treck que ce logiciel réseau de base s'est propagé dans le monde entier par une utilisation directe et indirecte. Ici, les chaînes d'approvisionnement complexes fournissent le canal idéal permettant à la vulnérabilité d'origine de s'infiltrer et de se camoufler presque sans fin. Par exemple, JSOF explique que dans les années 90 Treck a collaboré avec une société japonaise nommée Elmic Systems. Plus tard, leurs chemins se sont séparés avec comme conséquence deux branches de périphériques dotés de deux piles TCP/IP distinctes - l'une gérée par Treck et l'autre gérée par Elmic Systems - commercialisées dans des zones totalement différentes, sans contact entre elles. A noter que Treck a apporté des corrections aux vulnérabilités découvertes par JSOF dans la dernière version en date de ses piles TCP/IP v4/v6 (https://treck.com/vulnerability-response-information/). () Un rapport technique détaillé de deux de ces vulnérabilités et de leur exploitation est disponible dans le livre blanc CVE-2020-11896 / CVE-2020-11898, disponible sur le site de JSOF ici. Pour une description détaillée de l'effet et de l'impact de Ripple20 sur la chaîne d'approvisionnement et de la façon dont JSOF l'a détecté, et pour une présentation technique, y compris une liste complète des fournisseurs concernés, voir ici. Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC

Une série de vulnérabilités découvertes dans une bibliothèque TCP/IP utilisée dans les systèmes embarqués

[EDITION ABONNES] Le laboratoire de recherche de la société israélienne JSOF a découvert une série de vulnérabilités dites zero-day (c’est-à-dire n'ayant fait l'objet d'aucune publication ou correctif connu) dans une bibliothèque TCP/IP de bas niveau largement utilisée dans de nombreux systèmes embarqués ...et développée par la société américaine Treck. Les 19 vulnérabilités détectées (*), du nom de Ripple20, incluent plusieurs vulnérabilités d'exécution de code à distance et affecteraient des centaines de millions d'appareils. Toujours selon JSOF, les risques inhérents à cette situation sont élevés : des données pourraient être volées directement à partir d’une imprimante, le comportement d'une pompe à perfusion pourrait être modifié à distance, ou des dispositifs de contrôle industriels pourraient être affectés. Un attaquant pourrait ainsi cacher du code malveillant dans les appareils embarqués pendant des années. Et l'une de ces vulnérabilités pourrait permettre l'entrée de l'extérieur dans les limites d'un réseau.

Ces faiblesses de la pile TCP/IP ont toutes un rapport avec des problèmes de corruption de mémoire dus à des erreurs dans le traitement des paquets envoyés sur le réseau, quel que soit le protocole utilisé (IPv4, IPv6, IPv6OverIPv4, TCP, UDP…).

Sur ce sujet, JSOF a notamment travaillé avec des chercheurs de Forescout. Société spécialiste de la surveillance et de l'évaluation de la sécurité des périphériques connectés dans les entreprises, Forescout vient de publier les résultats d’une enquête qui détaille quels sont les équipements connectés qui font courir aux entreprises le plus de risques en termes de cybersécurité. JSOF et Forescout, en s’appuyant sur les signatures de réseau TCP/IP de la base de connaissance de dispositifs embarqués de JSOF, ont ainsi identifié une dizaine de catégories de produits potentiellement vulnérables (pompes à perfusion, imprimantes, systèmes industriels d'alimentation sans coupure (UPS), terminaux de point de vente, caméras IP, systèmes de visioconférence, dispositifs d'automatisation des bâtiments et systèmes de contrôle industriels).

La chose intéressante à noter à propos de Ripple20 est, toujours selon JSOF, l'étendue de son impact, amplifié par les mécanismes de la chaîne d'approvisionnement. Car la très large diffusion de la bibliothèque de logiciels (et de ses vulnérabilités internes) est une conséquence naturelle de “l'effet d'entraînement” (ripple-effect, d’où le nom donné à ces vulnérabilités) de la chaîne d'approvisionnement. Un composant vulnérable unique, bien qu'il puisse être relativement petit en soi, peut ainsi se propager et impacter un nombre élevé d'industries et d'applications. JSOF note ainsi que Ripple20 a atteint des appareils IoT critiques dans un large éventail de domaines (médical, transports, contrôle industriel, énergie, télécommunications) impliquant un groupe très diversifié de fournisseurs. Sont concernés non seulement de petites entreprises mais aussi de grands fournisseurs d’équipements industriels comme HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter... (Certains ont d’ailleurs immédiatement reconnu le problème.)

Les ingénieurs de JSOF ont aussi découvert en suivant le parcours de la distribution de la bibliothèque TCP/IP de Treck que ce logiciel réseau de base s'est propagé dans le monde entier par une utilisation directe et indirecte. Ici, les chaînes d'approvisionnement complexes fournissent le canal idéal permettant à la vulnérabilité d'origine de s'infiltrer et de se camoufler presque sans fin. Par exemple, JSOF explique que dans les années 90 Treck a collaboré avec une société japonaise nommée Elmic Systems. Plus tard, leurs chemins se sont séparés avec comme conséquence deux branches de périphériques dotés de deux piles TCP/IP distinctes - l'une gérée par Treck et l'autre gérée par Elmic Systems - commercialisées dans des zones totalement différentes, sans contact entre elles.

A noter que Treck a apporté des corrections aux vulnérabilités découvertes par JSOF dans la dernière version en date de ses piles TCP/IP v4/v6 (https://treck.com/vulnerability-response-information/).

(*) Un rapport technique détaillé de deux de ces vulnérabilités et de leur exploitation est disponible dans le livre blanc CVE-2020-11896 / CVE-2020-11898, disponible sur le site de JSOF ici. Pour une description détaillée de l'effet et de l'impact de Ripple20 sur la chaîne d'approvisionnement et de la façon dont JSOF l'a détecté, et pour une présentation technique, y compris une liste complète des fournisseurs concernés, voir ici.

Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC