S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 17 juin 2020
N° CERTFR-2020-AVI-375
Affaire suivie par: CERT-FR
le 17 juin 2020

Avis du CERT-FR

Objet: [MàJ] Multiples vulnérabilités dans la pile TCP/IP de Treck

Gestion du document

Référence CERTFR-2020-AVI-375
Titre [MàJ] Multiples vulnérabilités dans la pile TCP/IP de Treck
Date de la première version 17 juin 2020
Date de la dernière version 08 janvier 2021
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Exécution de code arbitraire à distance
  • Déni de service à distance
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données

Systèmes affectés

  • versions de la pile TCP/IP de Treck antérieures à 6.0.1.66

Résumé

Le 16 juin 2020, des chercheurs ont annoncé la découverte de dix-neuf vulnérabilités dans l'implémentation de la pile TCP/IP de Treck.

Ce composant est utilisé dans de nombreux systèmes embarqués et objets connectés, dont certains équipements médicaux et équipements de contrôle industriel. Les vulnérabilités les plus critiques permettent une exécution de code arbitraire à distance.

Lorsque des vulnérabilités sont découvertes dans un composant d'aussi bas niveau, il est très difficile de compiler une liste exhaustive de produits vulnérables. De plus, la simple présence de ce composant dans un produit n'implique pas forcément que celui-ci est vulnérable, parce que la vulnérabilité a déjà été corrigée ou encore parce que ce composant a été modifié et que la vulnérabilité n'est pas forcément atteignable.

Le CERT Carneggie Mellon ainsi que les chercheurs ont proposé sur leurs sites respectifs une liste de produits vulnérables et certains éditeurs ont déjà communiqué sur le statut de leurs produits (cf. section Documentation).

Parmi les dix-neuf vulnérabilités, les trois les plus critiques sont identifiées comme :

  • CVE-2020-11896 : des datagrammes UDP fragmentés sur plusieurs paquets IP peuvent permettre un exécution de code arbitraire à distance ou un déni de service à distance sur des équipements avec une fonction d'IP Tunneling activée ;
  • CVE-2020-11897 : des paquets IPv6 mal formés permettent une exécution de code arbitraire à distance [1] ;
  • CVE-2020-11901 : une réponse DNS mal formée permet une exécution de code arbitraire à distance.

Si ces vulnérabilités sont jugées critiques, leur impact est atténué par les conditions d’exploitabilité.

Il convient donc de vérifier dans un premier temps si les équipements en bordure de réseau sont dans une configuration vulnérable. Si c'est le cas, il faut alors appliquer les mises à jour si elles sont disponibles ou mettre en œuvre les mesures de contournement.

[mise à jour du 26 octobre 2020] Les avis de sécurité Schneider Electric SEVD-2020-174-01 et SEVD-2020-175-01 ont été mis à jour le 22 octobre 2020 suite à la découverte d'impacts supplémentaires sur les produits Schneider. Des correctifs sont en cours de développement, certains ont déjà été publiés et des mesures de contournement sont identifiées et listées dans les avis à jour.

 

[1] cette vulnérabilité a été corrigée dans la version 5.0.1.35, sans être accompagnée d'un avis de sécurité à l'époque de sa mise à disposition.

Solution

Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 08 janvier 2021
    Version initiale