La situation de Ripple20 ne s’est guère améliorée depuis que la collection de vulnérabilités IoT a été révélée pour la première fois en juin – et les experts affirment que l’industrie de l’IoT ne s’en débarrassera peut-être jamais complètement.

C’est selon des chercheurs de JSOF, un cabinet de conseil en cybersécurité basé à Jérusalem, lors d’un Black Hat États-Unis 2020 séance mercredi. L’équipe JSOF a offert une plongée technique approfondie dans la série de 19 vulnérabilités zero-day découvertes l’année dernière par l’entreprise, qui affectaient des centaines de millions d’appareils IoT dans pratiquement tous les secteurs verticaux.

Les vulnérabilités font partie d’un TCP / IP pile appelée Treck TCP / IP, largement utilisée parmi une longue liste d’appareils connectés et IoT de fournisseurs tels qu’Intel, Cisco et Hewlett Packard Enterprise.

Lors de la session Black Hat, Shlomi Oberman, PDG de JSOF, a expliqué que quatre des vulnérabilités sont critiques exécution de code à distance vulnérabilités, et huit sont des vulnérabilités CVSS de gravité moyenne à élevée avec un certain risque de RCE.

«Les appareils concernés sont fabriqués par des fournisseurs que vous connaissez tous», a déclaré Oberman. « Grands fournisseurs, appareils à fort impact, ainsi que petits fournisseurs de toute gamme de tous les types d’appareils IoT et des entreprises Fortune 500 aux boutiques individuelles, petites petites entreprises fabriquant des appareils spécialisés. Les types d’appareils que vous pouvez rencontrer dans votre l’hôpital, à domicile sur votre réseau, électricité, eau, cellulaire, services publics, choses que vous utilisez dans votre vie quotidienne, transport – à peu près tout ce que nous faisons est alimenté par des appareils affectés par les vulnérabilités Ripple20. « 

Parce que la pile Treck a été utilisée dans tant de produits différents, des routeurs et DVR aux dispositifs médicaux et aux systèmes de contrôle industriels (ICS), c’était un défi pour les chercheurs du JSOF d’identifier et de notifier les fournisseurs concernés. JSOF a déclaré que la bibliothèque TCP / IP s’est répandue dans toute la chaîne d’approvisionnement technologique au cours des deux dernières décennies, avec différentes versions et branches atteignant des centaines de millions d’appareils. Les chercheurs ont déclaré que cela a créé un effet d’entraînement à travers l’industrie technologique, d’où le nom Ripple20.

Alors que certains grands fournisseurs ont publié des avis et des correctifs pour les vulnérabilités Ripple20, d’autres non. Oberman a déclaré que le problème est extrêmement répandu et qu’il s’attend à ce que des fournisseurs et des appareils plus vulnérables soient découverts avec le temps.

Savoir ce que nous savons [Ripple20-]appareils concernés et vulnérabilités affectées, nous supposons que chaque organisation de taille moyenne à grande aux États-Unis possède au moins un appareil vulnérable.

«À ce stade, sachant ce que nous savons des périphériques affectés et des vulnérabilités affectées, nous supposons que chaque entreprise de taille moyenne à grande aux États-Unis possède au moins un périphérique vulnérable, qu’il s’agisse d’un périphérique réseau, d’un périphérique d’impression ou d’un périphérique ICS. , et cetera », a déclaré Oberman.

Scott Caveza, directeur de l’ingénierie de recherche chez Tenable, a également déclaré qu’il s’attend à ce que la portée des appareils et des fournisseurs concernés augmente encore davantage. Tenable a récemment collaboré avec JSOF pour aider à identifier 34 fournisseurs supplémentaires et 47 appareils vulnérables à Ripple20.

Pire encore, selon Caveza, il sera presque impossible de se débarrasser complètement des appareils affectés par la vulnérabilité Ripple20.

«JSOF continue de travailler avec divers fournisseurs et CERT / CC pour atteindre ces fournisseurs», a-t-il déclaré. «Étant donné que cette bibliothèque a été réutilisée pendant de nombreuses années par plusieurs fournisseurs, la recherche de tous les appareils concernés est une tâche presque impossible et il y aura inévitablement des appareils jugés vulnérables mais qui ne sont plus pris en charge ou qui ont été publiés par une entreprise qui ne l’est pas. plus longtemps en affaires. « 

Quant à sa gravité, Caveza a déclaré que «la plage de gravité dépendra vraiment du périphérique et de la manière dont la pile Treck TCP / IP a été implémentée.

« Dans certains cas, cela pourrait avoir un impact très grave et, dans d’autres, des différences de code pourraient offrir des atténuations et une protection », a-t-il déclaré. «La bibliothèque Treck se trouve dans une grande variété de dispositifs IoT et de technologie opérationnelle, qui peuvent être utilisés dans des opérations critiques et sont notoirement difficiles à corriger. Cela augmente certainement la menace posée par Ripple20.