19 vulnérabilités Zero-Day touchent des millions d'appareils connectés dans le monde

Le laboratoire de recherche de la société israélienne JSOF a découvert une série de 19 vulnérabilités zero-day qui affectent des millions d’appareils connectés dans le monde.

Selon des chercheurs, la plus grande partie des failles de sécurité, surnommées Ripple20, résident dans la bibliothèque de logiciels TCP / IP de bas niveau développée par Treck Inc.

“Les fournisseurs concernés vont des petites boutiques aux grosses sociétés multinationales, notamment HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter, ainsi que de nombreux autres grands fournisseurs internationaux”, a déclaré JSOF.

Quatre des 19 vulnérabilités ont été signalées comme critiques, avec des scores CVSS supérieurs à 9. Si elles étaient exploités, ces failles critiques pourraient permettre à des cybercriminels d’exécuter du code arbitraire à distance, aux effets potentiellement dévastateurs.

Les chercheurs ont décrit certains des scénarios les plus plausibles, y compris la prise de contrôle à distance de l’appareil ciblé. Des pirates sophistiqués pourraient prendre le contrôle de tous les appareils du réseau simultanément, en restant discrets et non détectés sur le réseau pendant des années.

“Les risques inhérents à cette situation sont élevés”, ont averti les chercheurs. “Juste quelques exemples : des données pourraient être volées sur une imprimante, le comportement d’une pompe à perfusion modifié ou des dispositifs de contrôle industriels pourraient être rendus défectueux”.

Les experts en cybersécurité ont également fait part de leurs conclusions à Treck, qui a publié une déclaration officielle sur son site Web :

“Notre dernière version de TCP / IPv4 / v6 de Treck et des protocoles associés a été mise à jour pour inclure des correctifs pour un groupe de vulnérabilités (VU # 257161 et ICS-VU-035787) signalés par Moshe Kol et Shlomi Oberman, chercheurs indépendants en cybersécurité chez JSOF”, a déclaré la société. “Treck fournit également des correctifs pour chaque problème signalé. Certains des problèmes sont très graves. L’exposition à ces problèmes de gravité élevée dépend fortement des produits Treck utilisés.”

De plus, JSOF a contacté plus de 500 fabricants d’appareils et organisations actuellement en cours d’évaluation de leurs produits.

“La divulgation a été reportée à deux reprises après que des demandes de délai supplémentaires aient été soumises par certains des fournisseurs participants, certains d’entre eux exprimant des retards liés au COVID-19”, ont déclaré les chercheurs. “Compte tenu de ces sociétés, le délai a été étendu de 90 à plus de 120 jours. Malgré cela, certaines des entreprises participantes sont devenues difficiles à gérer, car elles ont fait des demandes supplémentaires, et certaines, de notre point de vue, semblaient beaucoup plus préoccupées par l’image de leur marque que par la correction des vulnérabilités.”

Les étapes d’atténuation des vulnérabilités varient des fournisseurs d’appareils aux consommateurs. Si un correctif est disponible, la première étape consiste à effectuer la mise à jour vers la dernière version pour tous les appareils. Les organisations qui utilisent une pile Treck vulnérable doivent effectuer une évaluation des risques et, faute d’un correctif de vulnérabilité, «minimiser l’exposition au réseau pour les appareils intégrés et critiques, en veillant à ce que les appareils ne soient pas accessibles depuis Internet, sauf en cas d’absolue nécessité».

Il est également recommandé d’isoler les réseaux et les appareils du système derrière des pare-feu, de les désengager du réseau d’entreprise et d’utiliser un réseau privé virtuel pour connecter les appareils aux services cloud.