Ripple20 et IoT : « des centaines de millions » d’objets connectés vulnérables à 19 failles (dont 4 critiques)
Le 18 juin 2020 à 09h38
2 min
Internet
Internet
Une équipe de cybersécurité du JSOF research lab a découvert toute une série de failles 0-day dans une pile TCP/IP largement utilisée dans le domaine des objets connectés.
Les chercheurs affirment avoir découvert pas moins de 19 brèches qui affecteraient « des centaines de millions » de produits. Le point de départ est une « bibliothèque de protocoles Internet TCP/IP de bas niveau d’une société appelée Treck, inc ».
JSOF explique que les vulnérabilités se décomposent ainsi :
- 4 critiques avec de l'exécution de code à distance (CVSS supérieur ou égal à 9 sur 10)
- 4 « majeures » (CVSS supérieur ou égal à 7)
- 11 avec différents niveaux de gravité, de fuites d'informations, etc.
Selon ZDNet.com, les notes sont en fait de 9,8 pour les CVE-2020-11898 et CVE-2020-11899, alors que les CVE-2020-11896 et CVE-2020-11897 obtiennent le score maximum avec 10/10.
Réticente au début – pensant qu’il s’agissait d’une tentative d’extorsion de fonds – Treck travaille désormais activement avec JSOF. La société a confirmé à nos confrères que l’ensemble des brèches étaient désormais colmatées. Mais comme toujours en pareille situation, les fabricants doivent maintenant déployer les mises à jour, ce qui est loin d’être gagné.
Tous les détails techniques sont disponibles dans ce document. Une vidéo a aussi été publiée afin de mettre en pratique certaines des brèches sur des objets connectés du quotidien.
Le 18 juin 2020 à 09h38
Commentaires (13)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 18/06/2020 à 17h59
Alors pour ta brosse à dents, je sais de source sûr qu’ils en bavent pour créer un patch. Concernant le vibro de ta femme, si c’est comme la mienne, il y a déjà eu des fuites.
" />
Le 18/06/2020 à 18h01
Le 18/06/2020 à 18h04
merci !!
Le 19/06/2020 à 02h55
Je connais plein de gens concernés car ils ont des imprimantes HP… Pfff non je crois que je ne vais pas appeler. Ça m’épuise de devoir passer ma vie à balayer derrière l’incompétence des développeurs.
Mon imprimante laser est relié en USB par simple habitude old-school alors que j’ai plusieurs PC mais apparement ça m’épargne ce genre de déboires.
Et cette histoire valide mon antipathie envers tout ce qui est IoT et assimilé…
Le 19/06/2020 à 10h08
merci je vais regarder ça
Le 18/06/2020 à 09h13
un classique, mais n’oublions pas :
“the S in “IoT” stands for Security”
Le 18/06/2020 à 09h35
Dire que j’ai cherché le ’S’ pendant 4 secondes, je vais prendre un autre café.
Mon DSI est passé en PLS quand il a entendu IoT en réunion…
Le 18/06/2020 à 10h13
vlan dédié à l’iot/domotique
les équipement sont isolés sur le vlan hormis domoticz qui à accès au net et accessible via un WAF.
ha si ya R2 aussi (mon roborock) pour avoir la map sur l’appli xiami sinon le reste c’est niet
Le 18/06/2020 à 10h27
Dommage que l’article ne mentionne pas le travail de collecte de @ href="https://twitter.com/SwitHak" target="_blank">SwitHak concernant les objets connectés impactés par #Ripple20
GitHub
Voici le lien :
Le 18/06/2020 à 10h33
Même si les fabricants déploient les mises à jour, entre les utilisateurs qui ne les font pas et ceux qui veulent les faire “mais votre équipement à plus de 6 mois, donc aucune MàJ pour vous”, je doute que ça change grand chose pour les objets déjà “dans la nature”.
Le 18/06/2020 à 11h20
merci ! du coup j’ai oublier un truc qui est sur le lan et qui en plus est impacter !
cette putain d’imprimante HP … (pas le choix qu’elle accède au net, instant ink inside)
Le 18/06/2020 à 16h02
Regarde ceci alors :
GitHub
Le 18/06/2020 à 17h44
Ma brosse à dents et le vibro de ma femme sont-ils concernés ?
" />