Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’équipe de recherche en sécurité d’ExtraHop constate que plus d’un tiers des environnements IT est vulnérable aux menaces Ripple20

septembre 2020 par ExtraHop

ExtraHop publie un rapport alertant sur l’impact potentiel des vulnérabilités Ripple20 lorsque le logiciel affecté passe inaperçu et n’est pas patché. Après analyse des données de la base de leurs clients, les chercheurs en sécurité d’ExtraHop ont constaté que 35% des environnements IT sont vulnérables à Ripple20. Ripple20 est une série de 19 vulnérabilités trouvées dans la pile TCP/IP de Treck, une bibliothèque de logiciels TCP/IP de bas niveau développée par Treck Inc. et couramment utilisée par les fabricants d’appareils de nombreux secteurs comme les services publics, les soins de santé, l’administration et le milieu universitaire. L’impact de ces menaces a un effet de vague par le biais de chaînes de distribution logicielles complexes, ce qui rend difficile la mitigation des vulnérabilités.

Le groupe de recherche sur les menaces du JSOF a découvert les vulnérabilités Ripple20 (CVE-2020-11901) en juin 2020 et en a dévoilé les détails aux fabricants d’appareils concernés et aux fournisseurs de sécurité afin de leur donner suffisamment de temps pour déployer des correctifs et créer les méthodes de détection nécessaires, avant de rendre publiques leurs conclusions. L’équipe de recherche en sécurité d’ExtraHop a étudié les données de ses clients et découvert des composants vulnérables dans un environnement IT sur trois. Avec une durée moyenne de détection se situant autour de 56 jours, ces dispositifs vulnérables sont une véritable bombe à retardement. Les experts d’ExtraHop prédisent que les attaquants utiliseront largement cet exploit en tant que porte dérobée facile d’accès aux réseaux ciblés et ce, dans tous les secteurs économiques à travers le monde. « Les appareils qui utilisent la bibliothèque Treck présentent un risque considérable avec le potentiel d’une vaste exploitation », déclare Jeff Costlow, CISO chez ExtraHop. « Un attaquant pourrait utiliser ces vulnérabilités pour masquer du code malveillant dans des périphériques embarqués pendant une longue période, et les solutions traditionnelles de sécurité pour les endpoints telles que les EDR ou de sécurité périmétrique telles que les NGFW, n’auront aucune visibilité sur ces exploits. »

La visibilité et l’analyse comportementale des endpoints, qu’ils soient ou non gérés, incluant les IoT, ainsi que la visibilité sur une activité inhabituelle provenant de endpoints compromis au sein du trafic est/ouest des organisations, voilà l’enjeu principal pour un réseau sécurisé. Les entreprises peuvent prendre un certain nombre de mesures pour atténuer les risques de Ripple20.

Les recommandations d’atténuation d’ExtraHop sont les suivantes :

● Correctifs : Les fournisseurs utilisant le logiciel Treck ont eu très vite accès aux détails des exploits afin de produire immédiatement des correctifs. Malheureusement, un grand nombre de composants ne sont plus supportés par les fournisseurs, ce qui a rendu difficile la prise en compte de toutes les marques et modèles d’appareils vulnérables.

● Décommissionnement : en cas d’indisponibilité d’un correctif pour un type de périphérique affecté, ExtraHop recommande aux entreprises d’envisager de supprimer complètement ce type de périphérique de l’environnement de production et de le remplacer par des périphériques sécurisés maîtrisés. La suppression des appareils améliorera l’hygiène et la conformité, essentielles pour assurer la sécurité des environnements.

● Moniteur d’activité de scan : avant qu’un périphérique vulnérable soit compromis, les attaquants doivent d’abord le trouver. Les entreprises devront évaluer leurs propres pratiques pour comprendre et surveiller les scans légitimes et ceux qui pourraient indiquer une intention malveillante.

● Détection d’exploits : étant donné que tous les appareils vulnérables ne peuvent pas être identifiés et patchés, il est crucial pour les organisations de détecter les activités inhabituelles résultant d’un exploit Ripple20, au fur et à mesure qu’elles se produisent, comme les mouvements latéraux et l’escalade des privilèges. La détection via les données du réseau est une nécessité dans ce cas, car les périphériques embarqués qui utilisent le logiciel Treck ne pourront sûrement pas accueillir un agent de par leur nature.

● Isoler les appareils vulnérables : dans les cas où il n’est pas possible de patcher les appareils affectés, il est recommandé aux équipes de sécurité de prendre les mesures suivantes :
○ Vérifier que les périphériques ne sont pas accessibles à tous
○ Déplacer des périphériques dans un segment du réseau isolé des autres sous-réseaux locaux
○ Bloquer tout le trafic IP-in-IP destiné aux appareils affectés
○ Bloquer tout le trafic IPv6 destiné aux appareils affectés


Note sur la recherche

La protection des données est l’une des questions fondamentales de notre époque. ExtraHop surveille de façon non-intrusive chaque interaction sur le réseau puis en extrait des métadonnées anonymisées qui seront traitées grâce au machine learning basé sur le cloud. Ainsi, bien que nous puissions clairement voir à quel point Ripple20 est répandu dans les infrastructures que nous surveillons, nous ne relions ces données à aucun client spécifique. C’est notre déontologie.




Voir les articles précédents

    

Voir les articles suivants