Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Ripple 20 : cataclysme réseau dans l’IOT

19 juin 2020 - 11:12,
Tribune - Charles Blanc-Rolin
Annoncée publiquement le 16/06/2020 par les chercheurs du laboratoire JSOF [1], Ripple 20 est une collection de 19 vulnérabilités impactant l’implémentation de la pile TCP/IP dans la librairie proposée par Treck [2]. Une présentation complète de ces travaux de recherche est prévue à la conférence Black Hat USA qui se tiendra au mois d’août [3]. Cette librairie est utilisée dans de très nombreux appareils de type IOT et notamment des dispositifs médicaux.

Les appareils disposant d’une version 6.0.1.66 ou supérieure de la librairie Treck IP stack ne seraient pas impactés par l’ensemble des vulnérabilités, même si certaines d’entre elles ont été corrigées dans des versions antérieures.

Il reste maintenant une question en suspens : quels constructeurs ont déjà patché ?

Il est encore à l’heure actuelle, très difficile de déterminer tous les appareils concernés par cette collection de vulnérabilités. Même si les chercheurs à l’origine de cette découverte proposent déjà une liste de constructeurs d’appareils dont la vulnérabilité est confirmée ou potentielle, le recensement va être un véritable calvaire, sans compter les constructeurs qui risquent de cacher la poussière sous le tapis. À noter que le CERTCC propose également une liste de constructeurs avec le détail des vulnérabilités associées [4].

La société JSOF propose de fournir des scripts permettant de déterminer la vulnérabilité d’un appareil sur « simple » demande par courriel.La société Treck propose également d’aider à déterminer le niveau d’impact des appareils utilisant sa solution [5].
Pour nous, pauvres RSSI du secteur de la santé, il ne va pas être simple de déterminer tous les appareils potentiellement vulnérables dans nos SIH. Entre dispositifs médicaux, imprimantes, onduleurs, gtc / gtb, tv, réseau etc... Si la société JSOF, partage ses scripts de détection des vulnérabilités avec les constructeurs pour l’instant, je ne sais pas si elle acceptera de les laisser entre les mains de n’importe qui…

En attendant d’en savoir plus, CERTCC propose des solutions d’atténuation [6], ainsi qu’une règle Suricata permettant de détecter une exploitation éventuelle de plusieurs de ces vulnérabilités [7].

Côté dispositifs médicaux, la société B. Braun a confirmé le 12/06/202 qu’une gamme de ses pompes à perfusion était vulnérable [8]. Nous pouvons donc les en féliciter, plutôt que les blâmer car cela veut dire qu’ils les ont prises en compte.

Ces vulnérabilités affectent la pile TCP/IP, ce qui veut dire que tout appareil vulnérable connecté au réseau est susceptible d’être impacté. La configuration des réseaux et les mécanismes de protection peuvent évidemment atténuer l’exploitation.
Parmi les risque observés, c’est du lourd : exécution de code arbitraire à distance, déni de service à distance, atteinte à l'intégrité des données, et atteinte à la confidentialité des données… autant dire LA TOTALE.

Les chercheurs proposent une vidéo de démonstration d’une attaque réalisée sur un onduleur [9].

Dans un avis publié le 17/06/2020 [10], le CERT-FR identifie les trois vulnérabilités les plus critiques ainsi :

  • CVE-2020-11896 : des datagrammes UDP fragmentés sur plusieurs paquets IP peuvent permettre un exécution de code arbitraire à distance ou un déni de service à distance sur des équipements avec une fonction d'IP Tunneling activée
  • CVE-2020-11897 : des paquets IPv6 mal formés permettent une exécution de code arbitraire à distance
  • CVE-2020-11901 : une réponse DNS mal formée permet une exécution de code arbitraire à distance.

Vous aussi vous sentez revenir les insomnies ?


[1] https://www.jsof-tech.com/ripple20/

[2] https://treck.com/pdf/truser40e.pdf

[3] https://www.blackhat.com/us-20/briefings/schedule/index.html#hacking-the-supply-chain--vulnerabilities-haunt-tens-of-millions-of-critical-devices-19493

[4] https://www.kb.cert.org/vuls/id/257161

[5] https://treck.com/vulnerability-response-information/

[6] https://github.com/CERTCC/PoC-Exploits/blob/master/vu-257161/recommendations.md

[7] https://github.com/CERTCC/PoC-Exploits/blob/master/vu-257161/vu-257161.rules

[8] https://www.bbraunusa.com/content/dam/b-braun/us/website/customer_communications/Skyline%20Response_Outlook_6.9.2020_FINAL1.pdf

[9] https://youtu.be/jkfNE_Twa1s

[10] https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-375/ 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.