Connexion Abonnez-vous
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Ripple20 et IoT : « des centaines de millions » d’objets connectés vulnérables à 19 failles (dont 4 critiques)

Ripple20 et IoT : « des centaines de millions » d’objets connectés vulnérables à 19 failles (dont 4 critiques)

Le 18 juin 2020 à 09h38

Une équipe de cybersécurité du JSOF research lab a découvert toute une série de failles 0-day dans une pile TCP/IP largement utilisée dans le domaine des objets connectés.

Les chercheurs affirment avoir découvert pas moins de 19 brèches qui affecteraient « des centaines de millions » de produits. Le point de départ est une « bibliothèque de protocoles Internet TCP/IP de bas niveau d’une société appelée Treck, inc ».

JSOF explique que les vulnérabilités se décomposent ainsi :

  • 4 critiques avec de l'exécution de code à distance (CVSS supérieur ou égal à 9 sur 10)
  • 4 « majeures » (CVSS supérieur ou égal à 7)
  • 11 avec différents niveaux de gravité, de fuites d'informations, etc.

Selon ZDNet.com, les notes sont en fait de 9,8 pour les CVE-2020-11898 et CVE-2020-11899, alors que les CVE-2020-11896 et CVE-2020-11897 obtiennent le score maximum avec 10/10.

Réticente au début – pensant qu’il s’agissait d’une tentative d’extorsion de fonds – Treck travaille désormais activement avec JSOF. La société a confirmé à nos confrères que l’ensemble des brèches étaient désormais colmatées. Mais comme toujours en pareille situation, les fabricants doivent maintenant déployer les mises à jour, ce qui est loin d’être gagné.

Tous les détails techniques sont disponibles dans ce document. Une vidéo a aussi été publiée afin de mettre en pratique certaines des brèches sur des objets connectés du quotidien.

Le 18 juin 2020 à 09h38

Commentaires (13)

votre avatar

Alors pour ta brosse à dents, je sais de source sûr qu’ils en bavent pour créer un patch. Concernant le vibro de ta femme, si c’est comme la mienne, il y a déjà eu des fuites. <img data-src=" />

votre avatar







dyox a écrit :



Alors pour ta brosse à dents, je sais de source sûr qu’ils en bavent pour créer un patch. Concernant le vibro de ta femme, si c’est comme la mienne, il y a déjà eu des fuites. <img data-src=" />





<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />


votre avatar

merci !!

votre avatar

Je connais plein de gens concernés car ils ont des imprimantes HP… Pfff non je crois que je ne vais pas appeler. Ça m’épuise de devoir passer ma vie à balayer derrière l’incompétence des développeurs.



Mon imprimante laser est relié en USB par simple habitude old-school alors que j’ai plusieurs PC mais apparement ça m’épargne ce genre de déboires.

&nbsp;

Et cette histoire valide mon antipathie envers tout ce qui est IoT et assimilé…

&nbsp;

votre avatar

merci je vais regarder ça

votre avatar

un classique, mais n’oublions pas :

“the S in “IoT” stands for Security”

votre avatar

Dire que j’ai cherché le ’S’ pendant 4 secondes, je vais prendre un autre café.



Mon DSI est passé en PLS quand il a entendu IoT en réunion…

votre avatar

vlan dédié à l’iot/domotique&nbsp;



les équipement sont isolés sur le vlan hormis domoticz qui à accès au net et accessible via un WAF.&nbsp;



ha si ya R2 aussi (mon roborock) pour avoir la map sur l’appli xiami sinon le reste c’est niet

votre avatar

Dommage que l’article ne mentionne pas le travail de collecte de @ href="https://twitter.com/SwitHak" target="_blank">SwitHak concernant les objets connectés impactés par #Ripple20

Voici le lien :gist.github.com GitHub

votre avatar

Même si les fabricants déploient les mises à jour, entre les utilisateurs qui ne les font pas et ceux qui veulent les faire “mais votre équipement à plus de 6 mois, donc aucune MàJ pour vous”, je doute que ça change grand chose pour les objets déjà “dans la nature”.

votre avatar

merci ! du coup j’ai oublier un truc qui est sur le lan et qui en plus est impacter !&nbsp;



cette putain d’imprimante HP … (pas le choix qu’elle accède au net, instant ink inside)

votre avatar

Regarde ceci alors :github.com GitHub

votre avatar

Ma brosse à dents et le vibro de ma femme sont-ils concernés ? <img data-src=" />

Ripple20 et IoT : « des centaines de millions » d’objets connectés vulnérables à 19 failles (dont 4 critiques)

Fermer