« "Ripple20" est un ensemble de 19 vulnérabilités découvertes par les chercheurs de JSOF. Les vulnérabilités existent dans la bibliothèque logicielle TCP/IP développée par Treck, Inc. Comme elles existent dans une pile TCP/IP de bas niveau utilisée par des dizaines de fournisseurs et d’appareils, il est difficile de déterminer combien de fournisseurs vont les reconnaître, et encore moins publier des correctifs pour les appareils concernés. De plus, il s’agit souvent de dispositifs IoT/SCADA, qui peuvent être difficiles à corriger ou à mettre à niveau. Au moment où le rapport a été publié, huit fournisseurs ont été confirmés comme étant affectés, cinq ont été répertoriés comme non affectés et 66 sont toujours en attente.

L’équipe JSOF note que la bibliothèque affectée existe dans des appareils sensibles, tels que ceux que l’on trouve dans les applications de contrôle industriel, les appareils médicaux, les réseaux électriques, le pétrole, le gaz et plus encore. Aussi préoccupantes que soient ces 19 vulnérabilités, ce rapport met en lumière un problème de sécurité souvent négligé : les fournisseurs qui réutilisent des bibliothèques de logiciels tierces. Cette pratique crée des difficultés lorsqu’il s’agit d’identifier et de corriger des problèmes de logique et de sécurité dans le code, car elle devient un problème propre au fournisseur. La correction d’une vulnérabilité peut avoir plusieurs solutions provenant de différents fournisseurs, et il est possible que des tentatives de correction spécifiques ouvrent des vecteurs d’attaque supplémentaires si elles ne sont pas correctement mises en œuvre.

Le rapport de JSOF sur Ripple20 comprend plusieurs scénarios de risque sur la manière dont ces vulnérabilités peuvent être utilisées individuellement ou dans le cadre d’une attaque en chaîne, y compris un attaquant extérieur prenant le contrôle d’un dispositif exposé sur internet. Les plus graves de ces vulnérabilités comprennent deux failles d’exécution de code à distance (CVE-2020-11896, CVE-2020-11901) et une vulnérabilité d’écriture hors limites (OOB) (CVE-2020-11897). Ces vulnérabilités ne nécessitent aucune interaction de l’utilisateur et de nombreux paquets ressembleraient à du trafic TCP/IP légitime, susceptible de ne pas être détecté par les systèmes de détection d’intrusion (IDS) ou les systèmes de prévention d’intrusion (IPS) ».