du 18 juin 2020
Date

Choisir une autre édition

Ripple20 et IoT : « des centaines de millions » d’objets connectés vulnérables à 19 failles (dont 4 critiques)

Une équipe de cybersécurité du JSOF research lab a découvert toute une série de failles 0-day dans une pile TCP/IP largement utilisée dans le domaine des objets connectés.

Les chercheurs affirment avoir découvert pas moins de 19 brèches qui affecteraient « des centaines de millions » de produits. Le point de départ est une « bibliothèque de protocoles Internet TCP/IP de bas niveau d’une société appelée Treck, inc ».

JSOF explique que les vulnérabilités se décomposent ainsi :

  • 4 critiques avec de l'exécution de code à distance (CVSS supérieur ou égal à 9 sur 10)
  • 4 « majeures » (CVSS supérieur ou égal à 7)
  • 11 avec différents niveaux de gravité, de fuites d'informations, etc.

Selon ZDNet.com, les notes sont en fait de 9,8 pour les CVE-2020-11898 et CVE-2020-11899, alors que les CVE-2020-11896 et CVE-2020-11897 obtiennent le score maximum avec 10/10.

Réticente au début – pensant qu’il s’agissait d’une tentative d’extorsion de fonds – Treck travaille désormais activement avec JSOF. La société a confirmé à nos confrères que l’ensemble des brèches étaient désormais colmatées. Mais comme toujours en pareille situation, les fabricants doivent maintenant déployer les mises à jour, ce qui est loin d’être gagné.

Tous les détails techniques sont disponibles dans ce document. Une vidéo a aussi été publiée afin de mettre en pratique certaines des brèches sur des objets connectés du quotidien.

chargement Chargement des commentaires...