Une équipe de cybersécurité du JSOF research lab a découvert toute une série de failles 0-day dans une pile TCP/IP largement utilisée dans le domaine des objets connectés.
Les chercheurs affirment avoir découvert pas moins de 19 brèches qui affecteraient « des centaines de millions » de produits. Le point de départ est une « bibliothèque de protocoles Internet TCP/IP de bas niveau d’une société appelée Treck, inc ».
JSOF explique que les vulnérabilités se décomposent ainsi :
- 4 critiques avec de l'exécution de code à distance (CVSS supérieur ou égal à 9 sur 10)
- 4 « majeures » (CVSS supérieur ou égal à 7)
- 11 avec différents niveaux de gravité, de fuites d'informations, etc.
Selon ZDNet.com, les notes sont en fait de 9,8 pour les CVE-2020-11898 et CVE-2020-11899, alors que les CVE-2020-11896 et CVE-2020-11897 obtiennent le score maximum avec 10/10.
Réticente au début – pensant qu’il s’agissait d’une tentative d’extorsion de fonds – Treck travaille désormais activement avec JSOF. La société a confirmé à nos confrères que l’ensemble des brèches étaient désormais colmatées. Mais comme toujours en pareille situation, les fabricants doivent maintenant déployer les mises à jour, ce qui est loin d’être gagné.
Tous les détails techniques sont disponibles dans ce document. Une vidéo a aussi été publiée afin de mettre en pratique certaines des brèches sur des objets connectés du quotidien.
Commentaires (13)
#1
un classique, mais n’oublions pas :
“the S in “IoT” stands for Security”
#2
Dire que j’ai cherché le ’S’ pendant 4 secondes, je vais prendre un autre café.
Mon DSI est passé en PLS quand il a entendu IoT en réunion…
#3
vlan dédié à l’iot/domotique
les équipement sont isolés sur le vlan hormis domoticz qui à accès au net et accessible via un WAF.
ha si ya R2 aussi (mon roborock) pour avoir la map sur l’appli xiami sinon le reste c’est niet
#4
Dommage que l’article ne mentionne pas le travail de collecte de @SwitHak concernant les objets connectés impactés par #Ripple20
Voici le lien :https://gist.github.com/SwitHak/5f20872748843a8ad697a75c658278fe
#5
Même si les fabricants déploient les mises à jour, entre les utilisateurs qui ne les font pas et ceux qui veulent les faire “mais votre équipement à plus de 6 mois, donc aucune MàJ pour vous”, je doute que ça change grand chose pour les objets déjà “dans la nature”.
#6
merci ! du coup j’ai oublier un truc qui est sur le lan et qui en plus est impacter !
cette putain d’imprimante HP … (pas le choix qu’elle accède au net, instant ink inside)
#7
Regarde ceci alors :https://github.com/Hypfer/Valetudo
#8
Ma brosse à dents et le vibro de ma femme sont-ils concernés ? " />
#9
Alors pour ta brosse à dents, je sais de source sûr qu’ils en bavent pour créer un patch. Concernant le vibro de ta femme, si c’est comme la mienne, il y a déjà eu des fuites. " />
#10
#11
merci !!
#12
Je connais plein de gens concernés car ils ont des imprimantes HP… Pfff non je crois que je ne vais pas appeler. Ça m’épuise de devoir passer ma vie à balayer derrière l’incompétence des développeurs.
Mon imprimante laser est relié en USB par simple habitude old-school alors que j’ai plusieurs PC mais apparement ça m’épargne ce genre de déboires.
Et cette histoire valide mon antipathie envers tout ce qui est IoT et assimilé…
#13
merci je vais regarder ça