www.belgium.be Logo of the federal government

ALERTE : multiples vulnérabilités critiques 0-day dans la pile TCP/IP affectant un grand nombre de dispositifs connectés à Internet

Référence: 
Advisory #2020-020
Version: 
1.0
Logiciels concernés : 
Tous les périphériques appliquant le TPC/IP Treck inc. library
Type: 
Exécution de codes à distance (RCE); Exposition d’informations sensibles
CVE/CVSS: 
  • CVE-2020-11896 (CVSSv3 : 10)
  • CVE-2020-11897 (CVSSv3 : 10)
  • CVE-2020-11901 (CVSSv3 : 9)
  • CVE-2020-11898 (CVSSv3 : 9.1)
  • CVE-2020-11900 (CVSSv3 : 8.2)
  • CVE-2020-11902 (CVSSv3 : 7.3)
Date: 
17/06/2020

Sources

https://www.jsof-tech.com/ripple20/
https://www.us-cert.gov/ics/advisories/icsa-20-168-01
https://thehackernews.com/2020/06/new-critical-flaws-put-billions-of.html

Risques

L'exploitation des vulnérabilités mentionnées a un impact sur la Confidentialité, l'intégrité et la disponibilité des données (CIA).

Les vulnérabilités permettent à un acteur malveillant de contourner le NAT et les pare-feu, ainsi que de prendre le contrôle des appareils ciblés sans qu'aucune interaction de l'utilisateur ne soit nécessaire. L'attaque est considérée comme du traffic légitime et peut être utilisée pour exploiter en masse d'autres dispositifs vulnérables.

On répertorie les possibilités d'attaque suivantes :

1. Un acteur malveillant peut prendre le contrôle d'un appareil vulnérable connecté au web directement.
      a. L'acteur malveillant peut choisir de rester dans le réseau et de cacher sa présence pour toute opération ou la discrétion prime tout en gardant un pied dans le réseau.
      b. L'acteur malveillant peut choisir d'étendre son emprise (lateral movementp et d'exploiter en masse les dispositifs vulnérables simultanément.

Remarque : L'acteur malveillant peut effectuer une attaque alors qu'il se trouve en dehors du réseau (attaque de l'homme au milieu, empoisonnement du cache DNS...) lorsqu'il répond à des paquets qui quittent les limites du réseau ou contourne la configuration NAT.

Description

La série de vulnérabilités de type "zero-day", appelée Ripple20, est liée à des problèmes dans une bibliothèque logicielle TCP/IP de bas niveau développée par la société Treck, Inc.

La bibliothèque est implémentée dans différentes solutions, ce qui signifie que des centaines de millions de dispositifs sont vulnérables. Quatre vulnérabilités ont un score CVSS supérieur à 9 et permettent l'exécution de code malveillant à distance.

Les vulnérabilités pourraient permettre à un acteur malveillant de contourner le NAT et les pare-feu, ainsi que de prendre le contrôle des appareils sans qu'aucune interaction de l'utilisateur ne soit nécessaire. L'attaque est considérée comme du trafic légitime et peut être utilisée pour exploiter en masse d'autres dispositifs vulnérables.

La bibliothèque est utilisée dans différentes solutions touchant de multiples secteurs industriels :

  • Dispositifs industriels
  • Énergie
  • Soins de santé
  • Gouvernement
  • Vente au détail
  • Transport
  • Utilisateurs à domicile

Actions recommandées

Le CCB recommande aux administrateurs système d'appliquer des correctifs appropriés après des tests approfondis et de mettre en œuvre des mécanismes de surveillance et de détection supplémentaires qui pourraient donner à l'organisation un meilleur aperçu des attaques actuelles et futures.

Appliquer les mises à jour de la dernière version du logiciel de la pile IP de Treck (au moins 6.0.1.67 ou plus).

Treck peut être contacté via security[@]treck.com

Pour des informations plus détaillées sur les vulnérabilités et les remédiations éventuelles, veuillez consulter l'avis Treck. D'autres fournisseurs touchés par les vulnérabilités signalées ont également publié des avis de sécurité concernant leurs produits concernés. Ces avis sont les suivants :

B.Braun
Caterpillar
Green Hills
Rockwell
Schneider Electric

Bloquer le trafic IP anormal

Comme les attaques en question peuvent passer pour du trafic légitime, il est crucial de protéger votre environnement réseau par une inspection approfondie des paquets.

Niveaux de protection possibles :

- Normaliser ou rejeter les paquets fragmentés IP (IP Fragments) s'ils ne sont pas pris en charge dans votre environnement.
- Désactiver ou bloquer le tunneling IP, à la fois IPv6-in-IPv4 ou IP-in-IP si cela n'est pas nécessaire.
- Bloquer le routage des sources IP et toute fonctionnalité IPv6 dépréciée comme les en-têtes de routage.
- Appliquer l'inspection TCP et rejeter les paquets TCP malformés.
- Bloquer les messages de contrôle ICMP non utilisés tels que les mises à jour de MTU et de masque d'adresse.
- Normaliser le DNS grâce à un serveur récursif sécurisé ou à un pare-feu de la couche application.
- Assurez-vous que vous utilisez un équipement OSI de couche 2 (Ethernet) fiable.
- Fournir une sécurité DHCP/DHCPv6 avec des fonctionnalités telles que la surveillance DHCP.
- Désactiver ou bloquer la multidiffusion IPv6 si elle n'est pas utilisée dans l'infrastructure de commutation.

Détecter un trafic IP anormal

Suricata IDS possède des règles de décodage intégrées qui peuvent être personnalisées pour détecter les tentatives d'exploitation de ces vulnérabilités. Voir la règle ci-dessous pour exemple.

#IP-in-IP tunnel with fragments

alert ip any any -> any any (msg:"VU#257161:CVE-2020-11896, CVE-2020-11900 Fragments inside IP-in-IP tunnel https://kb.cert.org/vuls/id/257161"; ip_proto:4; fragbits:M; sid:1367257161; rev:1;)