Ripple20 :Des vulnérabilités critiques pourraient mettre vos appareils IoT/OT en danger

Les chercheurs en cybersécurité de JSOF viennent de publier un ensemble de 19 vulnérabilités, baptisées Ripple20, qui impactent la pile TCP/IP développée par Treck. Cette pile logicielle est intégrée à des millions de systèmes utilisés dans les marchés de la santé, des transports, de la fabrication, des télécommunications et de l'énergie, affectant potentiellement un très grand nombre d'organisations et d'industries critiques.

Les vulnérabilités sont similaires aux vulnérabilités Urgent/11 publiées en 2019 et impactant la pile TCP/IP développée par Interpeak. Comme Urgent/11, les vulnérabilités Ripple20 permettent aux attaquants de déclencher l'exécution de code à distance et un déni de service (DoS). De nombreux fournisseurs tels que HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter et d'autres ont déjà confirmé être touchés par Ripple20.

Les solutions Cisco IoT conçues pour les environnements industriels ne sont pas affectées par Ripple20. En fait, des produits comme Cisco Cyber ​​Vision et l'appliance de sécurité industrielle Cisco ISA3000 ainsi que les signatures Snort de Cisco Talos aideront à identifier les vulnérabilités Ripple20 dans votre réseau et à remédier aux risques. Certains produits Cisco sont vulnérables et vous pouvez lire l'avis officiel de Cisco ici.

Treck a été fondée en 1997 et développe des piles de protocoles pour les systèmes embarqués temps réel. Il est utilisé par de nombreux fournisseurs d'équipements car ce logiciel offre des performances optimisées pour les appareils IoT qui ont généralement une mémoire ou une puissance de traitement limitée, par exemple. Il est vendu sous la forme d'un code source, ce qui permet aux fournisseurs d'intégrer facilement uniquement les couches de protocole souhaitées et de les modifier pour des applications spécifiques.

En conséquence, selon la façon dont les fabricants ont spécialisé et intégré ces bibliothèques, elles peuvent devenir pratiquement non identifiables. De plus, au fur et à mesure que des fabricants ont été acquis, certains ont peut-être perdu la trace de ce composant logiciel, ce qui rend assez difficile, voire impossible, l'identification des produits concernés.

Un autre fait important est la collaboration passée entre Treck et la société japonaise Elmic System (aujourd'hui Zuken Elmic). Cette collaboration a abouti à deux piles TCP/IP similaires gérées indépendamment par chaque éditeur et vendues dans différentes régions, l'une sur le marché américain et l'autre sur les marchés asiatiques. Plusieurs vulnérabilités de Ripple20 ont également un impact sur la pile TCP/IP gérée par Zuken Elmic.

Adresse Ripple20 rapidement !

Ripple20 consiste en une série de 19 vulnérabilités. Quatre d'entre eux sont critiques avec des scores supérieurs à 9 sur l'échelle de gravité CVSS. Ceux-ci doivent être traités rapidement car ils peuvent être exploités pour l'exécution de code à distance arbitraire, les attaques par déni de service et la divulgation d'informations.

CVE-2020-11901 est probablement la vulnérabilité la plus grave. Il peut être déclenché en répondant à une requête DNS de l'appareil et peut entraîner l'exécution de code à distance. Étant donné que les requêtes DNS quittent généralement le réseau, elles peuvent être facilement interceptées pour permettre à un attaquant d'entrer. De plus, le paquet envoyé pour exploiter cette vulnérabilité sera conforme à diverses RFC, ce qui rendra difficile la détection de l'attaque par un pare-feu.

C'est juste un exemple. La liste complète des vulnérabilités Ripple20 et leurs descriptions peuvent être trouvées sur le site Web de JSOF ici.

Détection de Ripple20 dans vos réseaux IoT/OT

JSOF estime que plusieurs milliards d'appareils pourraient être touchés par les vulnérabilités Ripple20, car de nombreux fournisseurs ont intégré tout ou partie de la pile de protocoles Treck TCP/IP dans les systèmes qu'ils développent. Une liste des fournisseurs concernés a été établie par le CISA ICS-CERT et peut être consultée ici.

Alors que les détails et la liste des fournisseurs concernés continuent d'émerger, certaines mesures peuvent être prises pour aider à identifier et à se protéger contre ces vulnérabilités.

Alors que les fournisseurs publient des avis de sécurité pour identifier lesquels de leurs produits sont concernés, Cisco continuera à mettre à jour la base de connaissances Cyber ​​Vision afin qu'il puisse repérer vos actifs concernés. Cisco Cyber ​​Vision est une solution spécialement conçue pour détecter les attaques contre les appareils IoT/OT. Il découvre automatiquement les moindres détails de vos réseaux industriels et construit un inventaire complet des actifs mettant en évidence les vulnérabilités connues, telles que Ripple20.

La base de connaissances Cyber ​​Vision est fréquemment mise à jour et est disponible gratuitement pour tous les clients Cyber ​​Vision. Si vous ne l'avez pas déjà fait, nous vous recommandons d'installer la dernière version dès aujourd'hui en la téléchargeant ici.

En raison de la nature des vulnérabilités Ripple20 et des types d'appareils concernés, vous ne pourrez peut-être pas corriger les actifs vulnérables, ou vous ne saurez peut-être jamais que certains actifs sont vulnérables. Pour vous protéger, certaines mesures alternatives peuvent être prises.

Comment se protéger immédiatement

À court terme, vous pouvez tirer parti de vos systèmes de détection d'intrusion (IDS) pour détecter et alerter les tentatives d'exploitation de ces vulnérabilités. Cisco Cyber ​​Vision peut être configuré avec le moteur SNORT IDS, en tirant parti des règles développées par Cisco Talos. L'appliance de sécurité industrielle Cisco ISA3000 offre le même IDS, ainsi que la possibilité de bloquer ces comportements et bien plus encore, le tout dans un facteur de forme renforcé qui peut être déployé juste à côté des appareils industriels qu'il protège.

L'ISA3000 est également parfaitement adapté pour segmenter vos réseaux industriels et isoler les actifs qui n'ont pas besoin de communiquer entre eux. Cela garantira qu'une attaque potentielle peut être contenue et ne se propage pas à l'ensemble du réseau.

JSOF a fourni de nombreuses autres recommandations de correction que vous pouvez également implémenter avec l'ISA3000. Ceux-ci incluent la possibilité de bloquer les fragments IP, de bloquer l'IP dans le tunnel IP, de rejeter les paquets TCP malformés, de bloquer les messages ICMP inutilisés, de restreindre le trafic DHCP et de restreindre les communications et protocoles inattendus et non requis dans l'environnement.

Pour en savoir plus sur la façon dont Cisco peut vous aider à sécuriser votre réseau industriel, veuillez visiter le hub de sécurité IoT ou contactez-nous pour discuter de vos défis de sécurité IoT industrielle.