Publicité en cours de chargement...
Ripple 20 : cataclysme réseau dans l’IOT
Les appareils disposant d’une version 6.0.1.66 ou supérieure de la librairie Treck IP stack ne seraient pas impactés par l’ensemble des vulnérabilités, même si certaines d’entre elles ont été corrigées dans des versions antérieures.
Il reste maintenant une question en suspens : quels constructeurs ont déjà patché ?
Il est encore à l’heure actuelle, très difficile de déterminer tous les appareils concernés par cette collection de vulnérabilités. Même si les chercheurs à l’origine de cette découverte proposent déjà une liste de constructeurs d’appareils dont la vulnérabilité est confirmée ou potentielle, le recensement va être un véritable calvaire, sans compter les constructeurs qui risquent de cacher la poussière sous le tapis. À noter que le CERTCC propose également une liste de constructeurs avec le détail des vulnérabilités associées [4].
La société JSOF propose de fournir des scripts permettant de déterminer la vulnérabilité d’un appareil sur « simple » demande par courriel.La société Treck propose également d’aider à déterminer le niveau d’impact des appareils utilisant sa solution [5].
Pour nous, pauvres RSSI du secteur de la santé, il ne va pas être simple de déterminer tous les appareils potentiellement vulnérables dans nos SIH. Entre dispositifs médicaux, imprimantes, onduleurs, gtc / gtb, tv, réseau etc... Si la société JSOF, partage ses scripts de détection des vulnérabilités avec les constructeurs pour l’instant, je ne sais pas si elle acceptera de les laisser entre les mains de n’importe qui…
En attendant d’en savoir plus, CERTCC propose des solutions d’atténuation [6], ainsi qu’une règle Suricata permettant de détecter une exploitation éventuelle de plusieurs de ces vulnérabilités [7].
Côté dispositifs médicaux, la société B. Braun a confirmé le 12/06/202 qu’une gamme de ses pompes à perfusion était vulnérable [8]. Nous pouvons donc les en féliciter, plutôt que les blâmer car cela veut dire qu’ils les ont prises en compte.
Ces vulnérabilités affectent la pile TCP/IP, ce qui veut dire que tout appareil vulnérable connecté au réseau est susceptible d’être impacté. La configuration des réseaux et les mécanismes de protection peuvent évidemment atténuer l’exploitation.
Parmi les risque observés, c’est du lourd : exécution de code arbitraire à distance, déni de service à distance, atteinte à l'intégrité des données, et atteinte à la confidentialité des données… autant dire LA TOTALE.
Les chercheurs proposent une vidéo de démonstration d’une attaque réalisée sur un onduleur [9].
Dans un avis publié le 17/06/2020 [10], le CERT-FR identifie les trois vulnérabilités les plus critiques ainsi :
- CVE-2020-11896 : des datagrammes UDP fragmentés sur plusieurs paquets IP peuvent permettre un exécution de code arbitraire à distance ou un déni de service à distance sur des équipements avec une fonction d'IP Tunneling activée
- CVE-2020-11897 : des paquets IPv6 mal formés permettent une exécution de code arbitraire à distance
- CVE-2020-11901 : une réponse DNS mal formée permet une exécution de code arbitraire à distance.
Vous aussi vous sentez revenir les insomnies ?
[1] https://www.jsof-tech.com/ripple20/
[2] https://treck.com/pdf/truser40e.pdf
[4] https://www.kb.cert.org/vuls/id/257161
[5] https://treck.com/vulnerability-response-information/
[6] https://github.com/CERTCC/PoC-Exploits/blob/master/vu-257161/recommendations.md
[7] https://github.com/CERTCC/PoC-Exploits/blob/master/vu-257161/vu-257161.rules
Avez-vous apprécié ce contenu ?
A lire également.

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...
PSSI et Care D2 : suite de la réflexion sur la question de la signature
01 sept. 2025 - 22:56,
Tribune
-Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?
PSSI et Care D2, des questions pas si simples
26 août 2025 - 08:49,
Tribune
-Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.