La Cybersecurity Infrastructure and Security Agency (CISA) des États-Unis a averti de vulnérabilités critiques dans une bibliothèque de logiciels TCP / IP de bas niveau développée par Treck qui, si elle était armée, pourrait permettre à des attaquants distants d’exécuter des commandes arbitraires et de lancer des attaques par déni de service (DoS).

Les quatre failles affectent la pile Treck TCP / IP version 6.0.1.67 et antérieure et ont été signalées à l’entreprise par Intel. Deux d’entre eux sont jugés critiques en termes de gravité.

La pile TCP / IP intégrée de Treck est déployée dans le monde entier dans les systèmes de fabrication, de technologie de l’information, de santé et de transport.

Le plus grave d’entre eux est une vulnérabilité de dépassement de mémoire tampon basée sur le tas (CVE-2020-25066) dans le composant Treck HTTP Server qui pourrait permettre à un adversaire de planter ou de réinitialiser le périphérique cible et même d’exécuter du code distant. Il a un score CVSS de 9,8 sur un maximum de 10.

La deuxième faille est une écriture hors limites dans le composant IPv6 (CVE-2020-27337, CVSS score 9,1) qui pourrait être exploitée par un utilisateur non authentifié pour provoquer une condition DoS via l’accès au réseau.

Deux autres vulnérabilités concernent une lecture hors limites dans le composant IPv6 (CVE-2020-27338, CVSS score 5,9) qui pourrait être exploité par un attaquant non authentifié pour provoquer un DoS et une validation d’entrée incorrecte dans le même module (CVE-2020-27336, CVSS score 3,7) qui pourrait entraîner une lecture hors limites de jusqu’à trois octets via l’accès au réseau.

Treck recommande utilisateurs de mettre à jour la pile vers la version 6.0.1.68 pour corriger les failles. Dans les cas où les derniers correctifs ne peuvent pas être appliqués, il est conseillé que des règles de pare-feu soient implémentées pour filtrer les paquets qui contiennent une longueur de contenu négative dans l’en-tête HTTP.

La divulgation de nouvelles failles dans la pile Treck TCP / IP intervient six mois après que la société de cybersécurité israélienne JSOF a découvert 19 vulnérabilités dans la bibliothèque de logiciels – baptisée Ripple20 – qui pourraient permettre aux attaquants d’obtenir un contrôle complet sur les appareils IoT ciblés sans aucune intervention de l’utilisateur. .

De plus, plus tôt ce mois-ci, les chercheurs de Forescout ont révélé 33 vulnérabilités – collectivement appelées AMNESIA: 33 – impactant les piles de protocoles TCP / IP open-source qui pourraient être abusées par un mauvais acteur pour prendre le contrôle d’un système vulnérable.

Compte tenu de la chaîne d’approvisionnement IoT complexe impliquée, la société a publié un nouvel outil de détection appelé «project-memoria-detecteur» pour identifier si un périphérique réseau cible exécute une pile TCP / IP vulnérable dans un laboratoire.

Vous pouvez accéder à l’outil via GitHub ici.



Leave a Reply