La faille Ripple20 menace plusieurs millions d'équipements IoT

Des vulnérabilités critiques identifiées dans une bibliothèque TCP/IP intégrée exposent des millions d'appareils à des attaques, depuis les imprimantes et les caméras IP jusqu’aux appareils spécialisés utilisés dans les entreprises, comme les systèmes de vidéoconférence et les systèmes de contrôle industriels. Certaines de ces failles permettent l'exécution de codes à distance sur le réseau et peuvent conduire à une prise de contrôle totale de l'appareil concerné. Les vulnérabilités ont été découvertes par JSOF, une entreprise israélienne spécialisée dans la sécurité IoT et les dispositifs embarqués. Ces vulnérabilités affectent une implémentation propriétaire de protocoles réseau développés par la société Treck. Les chercheurs ont trouvé 19 failles, dont plusieurs jugées critiques, qu’ils ont baptisées « Ripple20 », parce qu'ils les ont découvertes en 2020 et qu’elles ont un effet de domino sur toute la chaîne d'approvisionnement intégrée.

L’entreprise JSOF a travaillé avec des chercheurs de Forescout, elle-même spécialisée dans la sécurité et la visibilité de l’IoT, afin d'identifier les produits potentiellement affectés. Pour cela, les chercheurs ont les signatures de réseau TCP/IP de la vaste base de connaissances de dispositifs embarqués de JSOF. Ils ont également travaillé avec l'ICS-CERT (Industrial Control Systems Cyber Emergency Response Team), un département de l'Agence américaine de cybersécurité et de sécurité des infrastructures (US Cybersecurity and Infrastructure Security Agency - CISA) chargée des infrastructures critiques, pour notifier et confirmer les produits et les fournisseurs concernés. Jusqu'à présent, les produits de 11 fournisseurs ont été confirmés comme étant vulnérables, notamment les pompes à perfusion, les imprimantes, les systèmes industriels d'alimentation sans coupure (UPS), les équipements réseaux, les dispositifs de point de vente, les caméras IP, les systèmes de vidéoconférence, les dispositifs d'automatisation des bâtiments et les systèmes de contrôle industriels ICS. Les chercheurs pensent que les vulnérabilités pourraient affecter des millions de dispositifs de plus de 100 fournisseurs.

Failles de corruption de mémoire

Toutes les vulnérabilités ont un rapport avec des problèmes de corruption de mémoire dues à des erreurs dans le traitement des paquets envoyés sur le réseau par le biais de différents protocoles, notamment les protocoles IPv4, ICMPv4, IPv6, IPv6OverIPv4, TCP, UDP, ARP, DHCP, DNS ou la couche de liaison Ethernet Link Layer. Deux vulnérabilités ont un score de 10 dans le système d’évaluation de la criticité des vulnérabilités Common Vulnerability Scoring System (CVSS), soit le score de gravité le plus élevé possible. L'une des vulnérabilités peut entraîner l'exécution de codes à distance et l'autre une écriture hors limites. Deux autres failles ont un score supérieur à 9, ce qui signifie qu’elles sont également critiques et peuvent entraîner l'exécution de codes à distance ou l'exposition d'informations sensibles.

Même si elles ont un score moins élevé, les vulnérabilités restantes présentent une gravité certaine, car les scores du CVSS ne reflètent pas toujours le risque auquel peuvent exposer des déploiements réels en fonction du type de dispositifs. Par exemple, dans une infrastructure critique ou un établissement de soins de santé, une vulnérabilité par déni de service qui empêche un appareil de remplir sa fonction vitale peut être considérée comme critique et pourrait avoir des conséquences désastreuses. « Dans le cas d'infrastructures critiques, la triade des propriétés de sécurité de la CIA - confidentialité, intégrité et disponibilité - est inversée. Par exemple, dans les chemins de fer, les gazoducs ou les usines de fabrication, il est essentiel que les opérations se déroulent normalement, et la disponibilité est plus importante que tout le reste », a expliqué Daniel dos Santos, directeur de la recherche chez Forescout. « La raison pour laquelle un problème de déni de service n’est pas toujours considéré comme critique dans les infrastructures critiques, c’est qu’il y en a tout simplement beaucoup trop », a aussi expliqué Shlomi Oberman, le CEO de JSOF. « Un tas de problèmes de consommation des ressources ne sont pas résolus, et il reste un long chemin à parcourir et un grand combat à mener pour y parvenir. Nous essayons toujours d’atteindre un état où tout le monde essaye au moins de corriger les exécutions de code à distance ».

Complexité de la chaîne d'approvisionnement

Les failles Ripple20 mettent en évidence la difficulté de comprendre l'étendue des vulnérabilités de sécurité dans le monde de l'IoT et des dispositifs intégrés en raison de la complexité de la chaîne d'approvisionnement et de l'absence de nomenclature des logiciels dans le processus de développement. Certains fournisseurs concernés ne savaient même pas que cette bibliothèque TCP/IP était intégrée à leurs produits, car elle était utilisée par un module ou un composant matériel tiers entrant dans la fabrication de leurs appareils. C'est le cas par exemple des appareils médicaux de Baxter. Ces derniers sont vulnérables parce qu'ils utilisent des modules matériels de Digi International, un grand fabricant de systèmes sur modules (SoM), qui utilise la bibliothèque Treck dans ses composants. La plupart des systèmes d'exploitation ont leur propre pile réseau, mais ce n'est pas toujours vrai dans le monde des appareils embarqués, où un composant matériel peut fonctionner avec un système d'exploitation allégé tout en ayant une connectivité réseau intégrée.

Treck est l'un des rares développeurs indépendants de protocoles réseau de bas niveau pour les appareils embarqués comportant une implementation ICMPv6, IPv6, TCP, UDP, ICMPv4, IPv4, ARP, Ethernet, DHCP, DNS et bien d'autres encore. Sa pile TCP/IP existe depuis environ 20 ans et la complexité des relations dans la chaîne d'approvisionnement a créé un problème de fragmentation. Différentes versions de la bibliothèque se sont retrouvées dans des produits divers, certaines directement, d'autres indirectement par l'intermédiaire d'un fournisseur de composants. Il se peut aussi que certains fournisseurs ont fait faillite depuis longtemps, ont été rachetés par d'autres entreprises ou ont cessé de produire lesdits composants. Il se peut que certains produits concernés ne bénéficient plus d’aucun support ou sont difficiles à corriger parce qu'ils n’offrent pas de mécanismes de mise à jour faciles. Enfin, il se peut aussi que certains composants exerçant des fonctions critiques dans des usines et des installations industrielles, soient difficiles à déconnecter pour être mis à jour.

Le nombre de fournisseurs concernés, inconnu

Les chercheurs de JSOF ont déclaré que les problèmes qu’ils ont découverts ne concernaient que d’anciennes versions de la pile TCP/IP de Treck et qu’ils ont disparu au fil du temps après des réécritures successives de code. Cependant, ces modifications de code n'étaient pas destinées à corriger des problèmes de sécurité, de sorte que les clients ne les considéraient pas comme des mises à jour de sécurité. Les versions vulnérables et anciennes de la bibliothèque sont encore utilisées par des appareils dispersés dans la nature. Cependant, la plupart des vulnérabilités, y compris les plus critiques, étaient des failles zero day quand elles ont été découvertes, ce qui signifie qu'elles affectaient même la dernière version de la bibliothèque. Les vendeurs concernés doivent donc mettre à jour leurs produits, ce qui n'est pas toujours facile. « Treck a développé des correctifs pour toutes les vulnérabilités, mais tous les fournisseurs concernés n’ont pas forcément de contrat de support avec l’entreprise et ont dû les renouveler », a encore expliqué Shlomi Oberman.

Seuls les gros fournisseurs ont pu confirmer que leurs produits étaient affectés par ces vulnérabilités. Mais ce n’est pas le cas de beaucoup d'autres. Comme pour les vulnérabilités URGENT/11 révélées l’an dernier dans la pile IPnet TCP/IP de VxWorks, un système d'exploitation en temps réel intégré (RTOS) très utilisé, M. Oberman pense que d'autres fournisseurs confirmeront que leurs produits sont affectés par les vulnérabilités Ripple20 au fil du temps. « Sur la centaine de fournisseurs potentiellement affectés, seuls une quinzaine ont confirmé la vulnérabilité de leurs produits », a-t-il déclaré. « De notre côté, nous estimons que des centaines de millions d'appareils sont touchés ».

Un panel de fournisseurs

Parmi les fournisseurs confirmés figurent HP, qui utilise la bibliothèque dans certaines de ses imprimantes ; Hewlett Packard Enterprise (HPE) ; Intel, qui utilise la pile dans le firmware de gestion hors bande AMT pour les systèmes Intel vPro ; Schneider Electric, qui utilise Treck dans ses dispositifs d'alimentation sans coupure (UPS) et dans d'autres produits ; Rockwell Automation ; les fabricants d'appareils médicaux Baxter et B. Braun ; le fabricant d'équipements de construction et d'exploitation minière Caterpillar ; l'organisme de recherche et développement américain Sandia National Laboratories ; l’entreprise de services informatiques HCL Technologies ; et le fabricant de composants Digi International.

Pour aggraver les problèmes de la chaîne d'approvisionnement, une variante distincte de la pile TCP/IP de Treck appelée KASAGO est commercialisée sur le marché asiatique par une entreprise dénommée Elmic. Cette variante est probablement affectée par certaines de ces vulnérabilités et ajoute à la complexité de la chaîne d'approvisionnement. JSOF et Forescout ont développé des signatures basées sur les schémas de circulation qui pourraient être utilisées pour identifier les appareils potentiellement vulnérables. En outre, ils ont effectué un énorme travail de collecte d’informations sur les logiciels libres en analysant la documentation juridique et les droits d'auteur des produits, en recherchant le nom de Treck dans les traces de la pile et en déboguant les symboles lors de l'analyse du firmware ou en pistant les relations commerciales entre le développeur de la bibliothèque et divers fournisseurs sur LinkedIn. Forescout a ajouté une capacité de détection à ses propres produits de visibilité et de gestion IoT et JSOF prévoit de diffuser certaines de ses informations pour que les entreprises puissent développer des capacités de scan et de surveillance de leurs réseaux et identifier les appareils pouvant contenir la bibliothèque Treck concernée et les isoler.

Des intrusions en cascade

Les dispositifs directement exposés à Internet sont immédiatement menacés, mais ces vulnérabilités peuvent également être exploitées pour des mouvements latéraux à travers les réseaux et les dispositifs compromis pourraient servir de point d'ancrage persistant pour les attaquants. D’après une recherche Shodan effectuée par Forescout sur 37 modèles d'appareils concernés provenant de 18 fournisseurs, environ 15 000 appareils sont directement connectés à Internet et pourraient être compromis par n'importe qui. « L'idée d’une nomenclature de logiciels pour tous les produits technologiques, équivalente aux étiquettes des produits alimentaires, est intéressante, mais pour l’instant, elle n'existe pas dans le monde réel », a déclaré M. dos Santos. « Ce que nous pouvons faire, c'est mettre en place une sorte de surveillance du réseau comme celle que nous avons réalisé à l'échelle, mais pour permettre cette fois à l’entreprise de voir parmi ses appareils, lesquels sont potentiellement impactés en utilisant des schémas de trafic, des signatures, et autres, comme ceux développés par JSOF ». Le rapport de JSOF contient des conseils d'atténuation supplémentaires.