Ripple20 est le nom qui a été donné à un ensemble de failles de sécurité qui sont susceptibles d’affecter plusieurs centaines de millions d’objets connectés utilisant une bibliothèque logicielle. Selon les experts d’une entreprise israélienne de conseil en cybersécurité, ces vulnérabilités touchent une bibliothèque TCP/IP conçue par la société américaine de logiciels Treck, dans les années 90.
Cette bibliothèque est commercialisée par l’éditeur américain au format code source. Elle peut être ensuite exploitée aux guises de ses acheteurs, même sous d’autres marques. Au fil des implémentations, il devient plus difficile de garder sa trace.
Sur l’échelle CVSSv3 et par leur score, 4 failles sur les 19 recensées sont considérées comme étant critiques. Parmi ces 4, 2 ont atteint le score maximum de 10/10.
L’une, CVE-2020-11896, est liée à un problème de tunneling IPv4. Celle-ci, posant un risque d’exécution de code à distance, a été corrigée par Treck dans la version 6.0.1.66 de sa bibliothèque. L’autre, CVE-2020-11987, provient d’un souci dans la gestion IPv6. L’éventuelle conséquence : une écriture hors limite et des corruptions de mémoire pouvant s’en découler.
Comme l’assurent les chercheurs, aucune de ces deux vulnérabilités n’est, toutefois, la plus critique. Selon ces derniers, il faut porter une attention particulière à la CVE-2020-11901 qui a un score de 9/10. À travers la manipulation des réponses aux requêtes DNS des systèmes ciblés, celle-ci pose des risques d’exécution de code à distance.
Du 1er au 6 août prochains, un rapport dédié à cette faille fera l’objet d’une présentation à la Black Hat USA. Le PoC (proof of concept) sera réalisé sur un onduleur Schneider Electric. Au moins, sept autres fournisseurs sont touchés, outre Schneider Electric.
La mise à jour de la bibliothèque dans sa version 6.0.1.67 constitue le meilleur remède. À défaut, des mesures de filtrage du trafic pourront être possibles : forcer l’inspection TCP ou désactivation DHCP si des IP statiques peuvent être utilisés, bloquer le multicast IPv6.
