AMNESIA:33, 33 vulnérabilités découvertes dans des appareils connectés

AMNESIA:33 est le nom donné par l’éditeur de solutions de cybersécurité Forescout à un ensemble de 33 vulnérabilités découvertes dans des objets connectés (l’étude complète ici). Ces vulnérabilités touchent notamment quatre stacks TCP/IP open source (uIP, FNET, picoTCP et Nut/Net).

Pour rappel, une stack est un ensemble de protocoles empilés et hiérarchisés de manière à ce que chaque couche puisse s’appuyer sur celles du dessous pour apporter des suppléments de fonctionnalités. Ces fonctionnalités sont utilisées afin de permettre la disponibilité des services*.

TCP/IP est la suite de protocoles se composant de TCP (Transmission Control Protcole) et IP (Internet Protocole). Elle sert de base aux transmissions de données dites « connectées » transitant sur Internet et permet une normalisation des échanges en s’affranchissant du matériel et logiciels utilisés.

« Open source » désigne des informations et des logiciels dont la licence respecte les critères établis par l’Open Source Initiative. Ces données sont par définition gratuites, modifiables et redistribuables tout en autorisant la création et diffusions de travaux dérivés.

Selon Forescout, les stacks TCP/IP présentant les vulnérabilités trouvées « servent de composants fondamentaux à de millions de dispositifs connectés dans le monde ». Elles permettent notamment : « la corruption de la mémoire, permettant aux attaquants de compromettre les dispositifs, d’exécuter du code malveillant, de réaliser des attaques par déni de service et de voler des informations sensibles ».

Selon Wicus Ross, Senior Security Researcher chez Orange Cyberdefense Afrique du Sud et Peter Holvoet, Solution Specialist chez Orange Cyberdefense Belgium, la liste des attaques possibles ne s’arrête pas là : « Les risques vont de l’exécution de code à distance, en passant par les fuites d’informations ou encore l’empoisonnement du cache DNS ».

Emmanuel David, Technical Director chez Orange Cyberdefense explique : « Une mauvaise pratique courante au cours du cycle de développement des logiciels et du processus de conception des produits consiste à incorporer des composants logiciels et matériels tiers sans évaluer leur posture de sécurité ou parfois même sans répertorier les composants qui ont été ajoutés au dispositif. En conséquence, lorsqu’une nouvelle vulnérabilité est découverte sur l’un de ces composants – comme une vulnérabilité “zero-day” – il est difficile de savoir combien de produits sont concernés. L’étude de Forescout a trouvé 150 fournisseurs possiblement touchés, c’est sûrement plus ».

Afin de colmater ces failles, il faut implémenter un patch correctif.

Pour que cette action soit aisément réalisable pour l’utilisateur, l’éditeur doit supporter le suivi du matériel et des composants impactés. Il faut aussi que les correctifs soient techniquement réalisables.

La première chose à faire est d’évaluer l’ampleur des dégâts :

• Où se trouvent ces appareils dans mon environnement IT ?
• Est-ce que je sais exactement ce qui est connecté sur mes réseaux ?

Ensuite, il faut évaluer ce qui peut être sécurisé et ce qui ne peut pas l’être. Car malheureusement, certaines choses ne pourront pas être corrigées.

Une fois que vous avez atteint ce point, commencez à faire de l’atténuation des risques, évaluez votre architecture et adaptez-la si nécessaire en la segmentant (via l’utilisation de VLAN & firewall par exemple). Pensez également à renforcer votre capacité d’audit, de stockage et d’analyse des logs et de détection des anomalies afin de répondre à une éventuelle attaque.

Enfin, quelques conseils pratiques :

• Utilisez un VPN.
• Ne permettez pas aux appareils connectés d’interagir avec les autres périphériques de votre réseau local.
• Utilisez un fournisseur de DNS explicite – qui est configuré par le VPN.

L’analyse complète d’Emmanuel David, ici.
Merci à Wicus Ross, Peter Holvoe et au Laboratoire d’Epidémiologie d’Orange Cyberdefense.

Pour en savoir plus sur nos solutions de cybersécurité, contactez-nous.

Notes

*au sein des couches applicatives localisées sur les plus hauts niveaux.