Ripple20 : des vulnérabilités appelées à empoisonner Internet durablement

La situation s’est améliorée depuis que le voile a été levé sur les vulnérabilités Ripple20 en juin. Mais il apparaît probable que l’industrie des objets connectés ne s’en débarrassera jamais totalement. C’est du moins l’analyse faite par les chercheurs de JSOF, un cabinet de conseil en cybersécurité basé à Jerusalem, qui intervenait récemment lors de l’édition 2020 de la conférence Black Hat.
L’occasion pour eux de se pencher en profondeur sur la série de 19 vulnérabilités inédites découvertes l’an dernier. Et qui affectent des centaines de millions d’objets connectés à travers le monde.

Ces vulnérabilités figurent dans une pile TCP/IP appelée Treck TCP/IP, largement utilisée parmi une longue liste de périphériques connectés et autres appareils IoT de fournisseurs tels qu'Intel, Cisco et HPE.

Lors de son allocution à Black Hat, Shlomi Oberman, PDG de JSOF, a expliqué que quatre de ces vulnérabilités sont critiques, permettant l'exécution de code à distance (RCE), et que huit présentent une criticité de moyenne à élevée, suivant le Common Vulnerability Scoring System, avec une certaine chance de RCE.

« Les dispositifs concernés sont fabriqués par des fournisseurs que vous connaissez tous », a relevé Shlomi Oberman. « De grands noms, des dispositifs à fort impact, mais aussi de petits fabricants de tous types d’objets connectés ». Et d’expliquer que l’on parle là « de dispositifs que vous pouvez rencontrer dans votre hôpital, à la maison sur votre réseau », mais aussi pour des utilités, des systèmes de transport : « des choses que vous utilisez dans votre vie de tous les jours, vos déplacements – à peu près tout ce que nous faisons est alimenté par des appareils concernés par les vulnérabilités Ripple20 ».

Puisque la pile Treck est utilisée dans un grand nombre de produits différents, les chercheurs de JSOF ont eu du mal à identifier et alerter les constructeurs concernés. Selon les chercheurs, l’adoption de cette pile TCP/IP s’est étendue à toute la chaîne d'approvisionnement IT au cours des deux dernières décennies, avec différentes versions et branches concernant des centaines de millions d'appareils. D'où un effet boule de neige… et le nom de Ripple20.

Si certains fournisseurs ont publié des avis et des correctifs pour les vulnérabilités de Ripple20, d'autres ne l'ont pas fait. Le chercheur français SwitHak tient à jour une liste de constructeurs concernés. Et force est de constater que peu semblent avoir effectivement communiqué sur le sujet.

Pour Shlomi Oberman, le problème est extrêmement répandu. Et il s'attend à ce que d'autres fournisseurs et appareils vulnérables soient découverts au fil du temps : « à ce stade, […] nous estimons que chaque organisation de taille moyenne à grande aux États-Unis possède au moins un appareil vulnérable, que ce soit un appareil de réseau, un appareil d'impression, un appareil ICS, etc. »

Scott Caveza, directeur de l'ingénierie de recherche chez Tenable, s’attend également à ce que de nouveaux appareils et constructeurs affectés soit découverts. Tenable a récemment collaboré avec JSOF pour aider à identifier 34 fournisseurs supplémentaires et 47 appareils vulnérables à Ripple20.

Pire encore, pour Scott Caveza, il sera presque impossible de se débarrasser complètement des appareils touchés par Ripple20 : « JSOF continue de travailler avec différents fournisseurs et le CERT/CC [Computer Emergency Response Team Coordination Center] pour les contacter ». Las, au fil des ans, de nombreux constructeurs se sont appropriés cette bibliothèque et pour Scott Caveza, « il est pratiquement impossible de retrouver tous les appareils concernés, et il y aura inévitablement des appareils qui se révéleront vulnérables mais qui ne sont plus pris en charge, ou qui ont été mis sur le marché par une société qui n'est plus en activité ».

Alors pour lui, la gravité de la situation « dépendra du dispositif et de la façon dont la pile TCP/IP de Treck a été mise en œuvre ». Mais la palette promet d’être étendue : « dans certains cas, cela pourrait avoir un impact très grave, et dans d'autres, les différences de code pourraient offrir certaines atténuations et une protection ».

Mais il n’en reste pas moins que « la bibliothèque Treck est présente dans une grande variété d’appareils connectés et de systèmes opérationnels (OT), qui peuvent être impliqués dans des opérations critiques et sont notoirement difficiles à réparer. Cela renforce la menace posée par Ripple20 ».