2024-08-08 00:35:35
Les données de Forescout et de Finite State ont révélé que les routeurs cellulaires OT (technologie opérationnelle) et IoT (Internet des objets), ainsi que d’autres utilisés dans les petits bureaux et les maisons, disposent de composants logiciels obsolètes liés à des vulnérabilités existantes (n-day). Le rapport Forescout-Finite State a analysé cinq images de micrologiciels de fournisseurs de routeurs OT/IoT, dont Acksys, Digi, MDEX, Teltonika et Unitronics, ainsi que l’état de la chaîne d’approvisionnement en logiciels des routeurs OT/IoT, qui sont essentiels pour connecter des appareils critiques dans divers environnements à Internet. L’étude a également révélé que les images de micrologiciels des routeurs OT/IoT présentaient en moyenne 20 vulnérabilités n-day exploitables affectant le noyau, avec des failles de sécurité de plus en plus larges.
Intitulé « Rough Around the Edges », le rapport Forescout-Finite State identifié OpenWrt est partout. « Quatre des cinq micrologiciels analysés exécutent des systèmes d’exploitation dérivés d’OpenWrt, un système d’exploitation open source basé sur Linux pour les appareils embarqués. Mais ces quatre images de micrologiciel utilisent des versions fortement modifiées du système d’exploitation de base, soit en mélangeant et en associant des versions de composants individuels avec une version de base, soit en développant leurs propres composants en interne », a-t-il ajouté.
De plus, les composants logiciels doivent souvent être mis à jour. L’analyse a identifié en moyenne 662 composants et 2 154 constatations entre les vulnérabilités connues, la faiblesse de la posture de sécurité et les nouvelles vulnérabilités potentielles sur chaque image de firmware. L’étude a identifié 25 composants courants et a constaté que le composant open source moyen avait cinq ans et six mois et quatre ans et quatre mois de retard par rapport à la dernière version. Même les images de firmware les plus récentes n’utilisent pas les dernières versions des composants open source, y compris les composants critiques tels que le noyau et OpenSSL.
Le rapport Forescout-Finite State a également révélé que les vulnérabilités connues sont nombreuses. « En moyenne, les images de firmware présentaient 161 vulnérabilités connues sur leurs composants les plus courants : 68 avec un score CVSS faible ou moyen, 69 avec un score élevé et 24 avec un score critique. De plus, les images de firmware présentaient en moyenne 20 jours n exploitables affectant le noyau », a-t-il ajouté.
En outre, l’étude Forescout-Finite State a détecté des lacunes en matière de sécurité. « En moyenne, 41 % des binaires des images de firmware utilisent RELRO, 31 % utilisent des canaris de pile, 65 % utilisent NX, 75 % utilisent PIE, 4 % utilisent RPath et 35 % ont des symboles de débogage. Les moyennes peuvent être trompeuses car les différences entre les images de firmware sont très importantes. Dans l’ensemble, les cinq images de firmware que nous avons examinées manquent de mécanismes de protection binaire », a-t-il ajouté.
De plus, les identifiants par défaut sont en voie de disparaître. Même si chaque firmware était fourni avec des identifiants par défaut, ceux-ci étaient souvent générés de manière unique et l’utilisateur était obligé de les modifier lors de la configuration d’un appareil, ce qui les rendait inexploitables dans des circonstances normales.
Le rapport a également révélé que les correctifs personnalisés posaient problème. « L’analyse a révélé des exemples de fournisseurs appliquant leurs propres correctifs à des vulnérabilités connues et introduisant de nouveaux problèmes, ainsi que des correctifs de vulnérabilités sans incrémenter les versions des composants, créant une confusion pour l’utilisateur d’un appareil qui ne comprend pas ce qui est vulnérable ou non. »
« Avec la convergence de l’IoT et de l’OT, les menaces ciblant les appareils connectés augmentent de manière exponentielle en raison des botnets cybercriminels, des APT étatiques et des hacktivistes », a déclaré Daniel dos Santos, responsable de la recherche chez Forescout Research – Vedere Labs, dit dans un communiqué de presse publié lundi. « Nos récentes recherches sur Sierra:21 ont révélé que des dizaines de milliers d’appareils dotés de micrologiciels obsolètes sont exposés en ligne, facilement accessibles aux pirates informatiques. »
Il a ajouté qu’après la publication de Sierra:21, « nous voulions comprendre l’état des composants logiciels des périphériques réseau OT/IoT d’autres fournisseurs, et ce que les acteurs malveillants pourraient découvrir s’ils examinaient de plus près cette chaîne d’approvisionnement logicielle. Au lieu de trouver de nouvelles vulnérabilités, notre objectif était d’examiner ce qui est déjà connu (n-day), mais toujours présent dans les dernières versions du firmware des routeurs. »
« Le rapport « Rough Around the Edges » révèle une tendance inquiétante à l’obsolescence des composants logiciels des routeurs OT/IoT, avec de nombreux appareils exécutant des versions modifiées d’OpenWrt qui incluent des vulnérabilités connues », a déclaré Larry Pesce, directeur de la recherche et du développement de produits chez Finite State. « Ces résultats soulignent l’importance cruciale de traiter les risques liés à la chaîne d’approvisionnement en logiciels, car notre analyse a identifié en moyenne 161 vulnérabilités connues par image de firmware, dont 24 avec des scores critiques. »
Pesce a ajouté : « En exploitant les capacités de notre plateforme, les organisations peuvent obtenir des informations approfondies sur les vulnérabilités et les composants obsolètes de leurs logiciels, ce qui leur permet de gérer de manière proactive les risques et de protéger leurs produits et leurs clients contre les cybermenaces en constante évolution. »
Dans l’ensemble, l’étude Forescout-Finite State a révélé des corrélations positives entre l’âge des composants, le nombre de vulnérabilités connues et les pratiques de renforcement binaire. Comme prévu, les micrologiciels dotés de composants plus récents ont tendance à avoir moins de vulnérabilités et de meilleures protections binaires. « Nous avons observé une diminution des identifiants par défaut, ce qui réduit la probabilité d’exploitation dans des circonstances normales. Cependant, nous avons également remarqué de nombreux problèmes avec les correctifs personnalisés des fournisseurs qui ne modifient pas les versions des composants et créent une confusion sur ce qui est réellement vulnérable », a-t-il ajouté.
Dans sa conclusion, le rapport Forescout-Finite State révèle que lors de l’analyse des images de firmware de différents fournisseurs pour une catégorie similaire d’appareils, ils présentent une similitude dans l’utilisation des composants. De nombreux appareils s’appuient sur les mêmes distributions de systèmes d’exploitation et les mêmes packages optionnels et Différences dans les versions des composants Les versions spécifiques de ces composants varient considérablement.
Le rapport Forescout-Finite State conclut que les images de micrologiciels de différents fournisseurs, lorsqu’elles sont analysées pour des types d’appareils similaires, montrent un chevauchement important dans les composants utilisés. De nombreux appareils dépendent des mêmes distributions de systèmes d’exploitation et de packages optionnels similaires. Cependant, il existe des différences notables dans les versions de ces composants, les versions spécifiques variant considérablement selon les appareils.
« Il est important de noter qu’il existe une corrélation entre l’utilisation de versions plus récentes de composants logiciels et la réduction des vulnérabilités, ainsi que l’adoption de meilleures pratiques de sécurité. Même des différences mineures dans les versions de logiciels peuvent avoir un impact significatif sur les vulnérabilités et, par conséquent, sur le risque qu’un appareil représente pour le propriétaire d’un actif », selon le rapport. « Étant donné que le système actuel de journaux des modifications et d’avis de sécurité ne fournit pas d’informations adéquates sur les vulnérabilités qui affectent un appareil, cette recherche fournit des preuves empiriques supplémentaires de la nécessité de SBOM précis. Les SBOM peuvent être générés et fournis par les fabricants d’appareils ou reconstruits à partir d’une image de micrologiciel, comme nous l’avons fait tout au long de cette recherche en utilisant Finite State. »
Cependant, la plupart des fabricants refusent toujours de fournir des SBOM à leurs clients, et ceux qui le font mettent souvent des mois à fournir des informations obsolètes ou incomplètes. Par conséquent, la génération automatisée de SBOM à partir du firmware est nécessaire, mais elle est intrinsèquement limitée en raison de facteurs tels que le firmware crypté, les formats propriétaires et les architectures de processeur exotiques.
Les solutions SBOM sont plus efficaces lorsqu’elles sont utilisées pour enrichir les informations sur les vulnérabilités, les exploits, les menaces et les risques sur un SBOM initial fourni par le fabricant. Elles sont également utilisées pour identifier les incohérences dans le SBOM fourni plutôt que de créer un SBOM à partir de zéro.
Les fabricants d’appareils doivent améliorer les informations fournies aux clients. Ils doivent être plus transparents sur les composants qu’ils utilisent, les versions de ces composants et les correctifs appliqués. Et ils doivent utiliser des formats standardisés autant que possible. Cette transparence aide les clients à comprendre les risques auxquels ils sont exposés, à les atténuer rapidement et à utiliser les informations de manière appropriée avec d’autres solutions. Elle démontre également la maturité d’un fabricant, car la sécurité par l’obscurité ne fonctionne jamais. Le nombre de vulnérabilités devrait augmenter. En plus de l’augmentation du nombre de lignes de code conduisant à davantage de vulnérabilités, la compréhension de ce qui constitue une vulnérabilité s’élargit.
Par exemple, en février 2024, le projet de noyau Linux est devenu une autorité de numérotation CVE (CNA) et attribuera un CVE à chaque bogue du noyau. Comme de plus en plus d’attaquants ciblent les appareils embarqués, le risque pour ces appareils augmente également. Les SBOM et les informations précises sur les composants sont essentielles non seulement lors de l’achat de nouveaux équipements ou de la planification des correctifs, mais également pour comprendre les risques liés aux appareils et détecter et répondre aux menaces sur le réseau.
De toute évidence, une atténuation efficace des risques OT/IoT nécessite un inventaire des actifs basé sur le réseau, granulaire et dynamique. Cet inventaire doit être capable d’extraire des informations telles que le fournisseur, le système d’exploitation, la version du micrologiciel, etc., à l’aide d’empreintes digitales réseau passives ou de capacités actives. Il doit également corréler ces informations avec les SBOM pour fournir des informations contextualisées sur les risques et soutenir l’application des contrôles d’atténuation.
Anna Ribeiro
Anna Ribeiro, rédactrice en chef de l’actualité industrielle Cyber. Anna Ribeiro est une journaliste indépendante avec plus de 14 ans d’expérience dans les domaines de la sécurité, du stockage de données, de la virtualisation et de l’IoT.
#Une #nouvelle #étude #ForescoutFinite #State #révèle #des #risques #sécurité #dans #les #routeurs #IoT #dotés #composants #logiciels #obsolètes
1723071461
