14 vulnérabilités critiques affectent la pile TCP/IP embarquée
Forescout Research Labs et JFrog Security Research ont découvert un ensemble de 14 nouvelles vulnérabilités affectant la pile TCP/IP NicheStack, appelées INFRA:HALT. Ces nouvelles vulnérabilités permettent l'exécution de code à distance, le déni de service, la fuite d'informations, l'usurpation d'identité TCP ou l'empoisonnement du cache DNS.
NicheStack ( aussi appelé InterNiche stack) est utilisé dans les technologies opérationnelles (OT) que l'on trouve fréquemment dans plusieurs secteurs d'infrastructures critiques, par conséquent les fournisseurs de dispositifs OT sont touchés par ces vulnérabilités. NicheStack est une pile TCP/IP à source fermée pour les systèmes embarqués, conçue pour fournir une connectivité Internet aux équipements industriels. Elle est intégrée par les principaux fournisseurs d'automatisation industrielle tels que Siemens, Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation et Schneider Electric dans leurs automates programmables (PLC) et autres produits.
Toutes les versions de NicheStack antérieures à la version 4.3 sont vulnérables à INFRA:HALT. Les vulnérabilités concernées sont :
- CVE-2020-25928 (score CVSS : 9.8) - Une lecture/écriture hors limites lors de l'analyse des réponses DNS, conduisant à l'exécution de code à distance.
- CVE-2021-31226 (score CVSS : 9.1) - Un débordement de tampon de type tas lors de l'analyse des requêtes HTTP, conduisant à l'exécution de code à distance.
- CVE-2020-25927 (score CVSS : 8.2) - Une lecture hors limites lors de l'analyse des réponses DNS, conduisant à un déni de service.
- CVE-2020-25767 (score CVSS : 7.5) - Une lecture hors limites lors de l'analyse des noms de domaine DNS, conduisant à un déni de service et à la divulgation d'informations.
- CVE-2021-31227 (score CVSS : 7.5) - Un débordement de tampon de type tas lors de l'analyse des requêtes HTTP post, menant à un déni de service.
- CVE-2021-31400 (score CVSS : 7.5) - Un scénario de boucle infinie dans la fonction de traitement des données urgentes hors bande TCP, provoquant un déni de service
- CVE-2021-31401 (score CVSS : 7.5) - Une faille de débordement d'entier dans le code de traitement des en-têtes TCP
- CVE-2020-35683 (score CVSS : 7.5) - Une lecture hors limites lors de l'analyse des paquets ICMP, menant à un déni de service
- CVE-2020-35684 (score CVSS : 7.5) - Une lecture hors limites lors de l'analyse des paquets TCP, conduisant à un déni de service.
- CVE-2020-35685 (score CVSS : 7.5) - Numéros de séquence initiaux (ISN) prévisibles dans les connexions TCP, conduisant à une usurpation d'identité TCP
- CVE-2021-27565 (score CVSS : 7.5) - Condition de déni de service lors de la réception d'une requête HTTP inconnue.
- CVE-2021-36762 (score CVSS : 7.5) - Une lecture hors limites dans la fonction de traitement des paquets TFTP, menant à un déni de service.
- CVE-2020-25926 (score CVSS : 4.0) - Le client DNS ne définit pas suffisamment d'ID de transaction aléatoires, ce qui entraîne un empoisonnement du cache.
- CVE-2021-31228 (score CVSS : 4.0) - Le port source des requêtes DNS peut être prédit pour envoyer de faux paquets de réponse DNS, provoquant un empoisonnement du cache.
HCC Embedded, qui gère la bibliothèque C, a publié des correctifs logiciels pour résoudre le problème INFRA:HALT, qui nécessite l'application de correctifs aux dispositifs vulnérables, mais cela est difficile en raison de la logistique de la chaîne d'approvisionnement et de la nature critique des dispositifs OT. Forescout Research Labs et JFrog Security Research sont également engagés à aider les fournisseurs à identifier les produits affectés par leurs détecteurs de pile TCP/IP open-source, ce qui peut être utile pour la découverte de ces vulnérabilités.
Pour réduire le risque associé aux dispositifs vulnérables, il est notamment nécessaire d'appliquer des contrôles de segmentation et de surveiller tout le trafic réseau à la recherche de paquets malveillants.