Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Ripple20 et IoT : « des centaines de millions » d’objets connectés vulnérables à 19 failles (dont 4 critiques)Crédits : Weedezign/iStock

Une équipe de cybersécurité du JSOF research lab a découvert toute une série de failles 0-day dans une pile TCP/IP largement utilisée dans le domaine des objets connectés.

Les chercheurs affirment avoir découvert pas moins de 19 brèches qui affecteraient « des centaines de millions » de produits. Le point de départ est une « bibliothèque de protocoles Internet TCP/IP de bas niveau d’une société appelée Treck, inc ».

JSOF explique que les vulnérabilités se décomposent ainsi :

  • 4 critiques avec de l'exécution de code à distance (CVSS supérieur ou égal à 9 sur 10)
  • 4 « majeures » (CVSS supérieur ou égal à 7)
  • 11 avec différents niveaux de gravité, de fuites d'informations, etc.

Selon ZDNet.com, les notes sont en fait de 9,8 pour les CVE-2020-11898 et CVE-2020-11899, alors que les CVE-2020-11896 et CVE-2020-11897 obtiennent le score maximum avec 10/10.

Réticente au début – pensant qu’il s’agissait d’une tentative d’extorsion de fonds – Treck travaille désormais activement avec JSOF. La société a confirmé à nos confrères que l’ensemble des brèches étaient désormais colmatées. Mais comme toujours en pareille situation, les fabricants doivent maintenant déployer les mises à jour, ce qui est loin d’être gagné.

Tous les détails techniques sont disponibles dans ce document. Une vidéo a aussi été publiée afin de mettre en pratique certaines des brèches sur des objets connectés du quotidien.

13 commentaires
Avatar de Sandeman Abonné
Avatar de SandemanSandeman- 18/06/20 à 09:13:59

un classique, mais n'oublions pas :
"the S in ''IoT'' stands for Security"

Avatar de tifounon Abonné
Avatar de tifounontifounon- 18/06/20 à 09:35:17

Dire que j'ai cherché le 'S' pendant 4 secondes, je vais prendre un autre café.

Mon DSI est passé en PLS quand il a entendu IoT en réunion...

Avatar de al_bebert INpactien
Avatar de al_bebertal_bebert- 18/06/20 à 10:13:44

vlan dédié à l'iot/domotique 

les équipement sont isolés sur le vlan hormis domoticz qui à accès au net et accessible via un WAF. 

ha si ya R2 aussi (mon roborock) pour avoir la map sur l'appli xiami sinon le reste c'est niet

Avatar de FabianRODES Abonné
Avatar de FabianRODESFabianRODES- 18/06/20 à 10:27:29

Dommage que l'article ne mentionne pas le travail de collecte de @SwitHak concernant les objets connectés impactés par #Ripple20
Voici le lien :https://gist.github.com/SwitHak/5f20872748843a8ad697a75c658278fe

Avatar de minirop Abonné
Avatar de miniropminirop- 18/06/20 à 10:33:08

Même si les fabricants déploient les mises à jour, entre les utilisateurs qui ne les font pas et ceux qui veulent les faire "mais votre équipement à plus de 6 mois, donc aucune MàJ pour vous", je doute que ça change grand chose pour les objets déjà "dans la nature".

Avatar de al_bebert INpactien
Avatar de al_bebertal_bebert- 18/06/20 à 11:20:05

merci ! du coup j'ai oublier un truc qui est sur le lan et qui en plus est impacter ! 

cette putain d'imprimante HP ... (pas le choix qu'elle accède au net, instant ink inside)

Avatar de timhor INpactien
Avatar de timhortimhor- 18/06/20 à 16:02:39
Avatar de Ricard INpactien
Avatar de RicardRicard- 18/06/20 à 17:44:42

Ma brosse à dents et le vibro de ma femme sont-ils concernés ? :stress:

Avatar de dyox Abonné
Avatar de dyoxdyox- 18/06/20 à 17:59:35

Alors pour ta brosse à dents, je sais de source sûr qu'ils en bavent pour créer un patch. Concernant le vibro de ta femme, si c'est comme la mienne, il y a déjà eu des fuites. :D

Avatar de Ricard INpactien
Avatar de RicardRicard- 18/06/20 à 18:01:07

dyox a écrit :

Alors pour ta brosse à dents, je sais de source sûr qu'ils en bavent pour créer un patch. Concernant le vibro de ta femme, si c'est comme la mienne, il y a déjà eu des fuites. :D

:transpi::transpi::transpi::transpi::transpi:

Il n'est plus possible de commenter cette actualité.
Page 1 / 2