Publicité en cours de chargement...
Ripple 20 : cataclysme réseau dans l’IOT
Les appareils disposant d’une version 6.0.1.66 ou supérieure de la librairie Treck IP stack ne seraient pas impactés par l’ensemble des vulnérabilités, même si certaines d’entre elles ont été corrigées dans des versions antérieures.
Il reste maintenant une question en suspens : quels constructeurs ont déjà patché ?
Il est encore à l’heure actuelle, très difficile de déterminer tous les appareils concernés par cette collection de vulnérabilités. Même si les chercheurs à l’origine de cette découverte proposent déjà une liste de constructeurs d’appareils dont la vulnérabilité est confirmée ou potentielle, le recensement va être un véritable calvaire, sans compter les constructeurs qui risquent de cacher la poussière sous le tapis. À noter que le CERTCC propose également une liste de constructeurs avec le détail des vulnérabilités associées [4].
La société JSOF propose de fournir des scripts permettant de déterminer la vulnérabilité d’un appareil sur « simple » demande par courriel.La société Treck propose également d’aider à déterminer le niveau d’impact des appareils utilisant sa solution [5].
Pour nous, pauvres RSSI du secteur de la santé, il ne va pas être simple de déterminer tous les appareils potentiellement vulnérables dans nos SIH. Entre dispositifs médicaux, imprimantes, onduleurs, gtc / gtb, tv, réseau etc... Si la société JSOF, partage ses scripts de détection des vulnérabilités avec les constructeurs pour l’instant, je ne sais pas si elle acceptera de les laisser entre les mains de n’importe qui…
En attendant d’en savoir plus, CERTCC propose des solutions d’atténuation [6], ainsi qu’une règle Suricata permettant de détecter une exploitation éventuelle de plusieurs de ces vulnérabilités [7].
Côté dispositifs médicaux, la société B. Braun a confirmé le 12/06/202 qu’une gamme de ses pompes à perfusion était vulnérable [8]. Nous pouvons donc les en féliciter, plutôt que les blâmer car cela veut dire qu’ils les ont prises en compte.
Ces vulnérabilités affectent la pile TCP/IP, ce qui veut dire que tout appareil vulnérable connecté au réseau est susceptible d’être impacté. La configuration des réseaux et les mécanismes de protection peuvent évidemment atténuer l’exploitation.
Parmi les risque observés, c’est du lourd : exécution de code arbitraire à distance, déni de service à distance, atteinte à l'intégrité des données, et atteinte à la confidentialité des données… autant dire LA TOTALE.
Les chercheurs proposent une vidéo de démonstration d’une attaque réalisée sur un onduleur [9].
Dans un avis publié le 17/06/2020 [10], le CERT-FR identifie les trois vulnérabilités les plus critiques ainsi :
- CVE-2020-11896 : des datagrammes UDP fragmentés sur plusieurs paquets IP peuvent permettre un exécution de code arbitraire à distance ou un déni de service à distance sur des équipements avec une fonction d'IP Tunneling activée
- CVE-2020-11897 : des paquets IPv6 mal formés permettent une exécution de code arbitraire à distance
- CVE-2020-11901 : une réponse DNS mal formée permet une exécution de code arbitraire à distance.
Vous aussi vous sentez revenir les insomnies ?
[1] https://www.jsof-tech.com/ripple20/
[2] https://treck.com/pdf/truser40e.pdf
[4] https://www.kb.cert.org/vuls/id/257161
[5] https://treck.com/vulnerability-response-information/
[6] https://github.com/CERTCC/PoC-Exploits/blob/master/vu-257161/recommendations.md
[7] https://github.com/CERTCC/PoC-Exploits/blob/master/vu-257161/vu-257161.rules
Avez-vous apprécié ce contenu ?
A lire également.

IA et santé : cap sur une cybersécurité consolidée et proactive
18 juin 2025 - 10:57,
Communiqué
- Trend MicroLe secteur de la santé, porté par la vague de l’IA, veut gagner en flexibilité, innover dans la prise en charge des patients et maîtriser les coûts. Des promesses qui ne se concrétiseront que dans un cadre de sécurité robuste. En effet, l’IA se révèle à double tranchant. Elle renforce les lignes de ...

Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics
16 juin 2025 - 22:18,
Actualité
- Damien Dubois, DSIHLe 12 juin, la Commission européenne a annoncé un investissement de 145,5 millions d’euros pour soutenir la cybersécurité des PME, administrations et établissements de santé.

Et c’est l’heure de notre quiz annuel
16 juin 2025 - 22:10,
Tribune
-Ça y est, c’est bientôt l’été avec tout qui chauffe, le soleil qui revient, le maillot de bain de l’année dernière dans lequel vous ne rentrez plus – hiver oblige. Il est largement temps de se changer les idées avec un petit quiz aux questions subtilement nuancées, une exclusivité DSIH souvent imité...

IA & éthique du numérique en santé : le guide d’implémentation de l’ANS
09 juin 2025 - 21:17,
Tribune
-Compte tenu, d’une part, des perspectives d’amélioration que l’IA promet dans le secteur de la santé et, d’autre part, de la montée en charge rapide de l’offre de systèmes d’IA (SIA), la cellule éthique de la Délégation au numérique en santé (DNS) a réuni un groupe de travail (GT) pluridisciplinaire...