Une faille de Cinterion affecte des millions d’appareils IoT

Un correctif a été déployé pour une faille dans un module nommé Cinterion, et les chercheurs recommandent aux fabricants d’appareils IoT de mettre à jour leurs appareils dès que possible.

Les chercheurs demandent aux fabricants d’appareils connectés de s’assurer qu’ils ont appliqué des correctifs corrigeant une faille dans le module utilisé par des millions d’appareils IoT. Si elle était exploitée, les chercheurs ont émis l’hypothèse que la faille pourrait permettre aux attaquants de couper l’électricité d’une ville ou même de surdoser un patient médical.

La vulnérabilité existe dans le module Cinterion, un petit appareil électronique intégré dans des appareils IoT qui se connecte à des réseaux sans fil et envoie et reçoit des données. Le module est fabriqué par Thales, une société française qui conçoit et construit des systèmes électriques pour les marchés aérospatiaux.

internet of things

Les chercheurs ont découvert la faille dans le module EHS8 de Cinterion, cependant, des tests supplémentaires ont révélé que cinq autres modèles de la même gamme de produits étaient également affectés (BGS5, EHS5/6/8, PDS5/6/8, ELS61, ELS81, PLS62). La faille pourrait être exploitée pour dérober des informations confidentielles, prendre le contrôle d’appareils, accéder à des réseaux de contrôle et plus encore.

«[Les modules] stockent et exécutent du code Java, contenant souvent des informations confidentielles telles que des mots de passe, des clés de chiffrement et des certificats», a déclaré Adam Laurie, de IBM X-Force Threat Intelligence, dans un article. «En utilisant des informations volées dans les modules, des acteurs malveillants peuvent potentiellement contrôler un appareil ou accéder au réseau de contrôle central pour mener des attaques généralisées, même à distance via la 3G dans certains cas.»

La faille de Cinterion connue depuis Septembre 2019

La vulnérabilité (CVE-2020-15858) de Cinterion a été découverte pour la première fois en Septembre dernier, et Thales a publié un correctif début 2020, mais bien que des correctifs soient disponibles, les chercheurs préviennent que de nombreux fabricants d’infrastructures critiques mettront un certain temps à les appliquer à leurs appareils. Les chercheurs ont révélé la faille la semaine dernière, après avoir travaillé avec Thales «pour s’assurer que les utilisateurs sont informés du correctif et prennent des mesures pour sécuriser leurs systèmes».

Les chercheurs ont trouvé un moyen de contourner les contrôles de sécurité qui cachent les fichiers ou le code opérationnel aux utilisateurs non autorisés.

La faille existe dans la manière dont les commandes AT sont traitées par le module Cinterion, a déclaré Dan Crowley, directeur de recherche chez IBM X-Force Red. Elle est liée à une chaîne de code Java qui compte le nombre de caractères dans la sous-chaîne de chemin.

Cette chaîne de code vérifie si le quatrième caractère d’une sous-chaîne de chemin est un point. Normalement, toute tentative d’accès aux fichiers cachés avec un préfixe point sera refusée (exemple: a:/.Hidden_file). Cependant, le remplacement de la barre oblique par une double barre oblique (exemple: a://.hidden_file) entraînera l’échec de la condition. Un attaquant pourrait donc utiliser le nom de fichier avec le préfixe point pour contourner la condition de test de sécurité.

«Un attaquant pourrait aller chercher des modems sur le réseau cellulaire, tentant d’émettre la commande AT qui exploite la faille», a expliqué Crowley. «Certains d’entre eux seront le module vulnérable, et un attaquant aura alors un assortiment de numéros de téléphone et de code associé récupérés à partir de l’appareil à ce numéro. En insérant des portes dérobées dans le code et en les réécrivant, l’attaquant contrôlerait divers appareils IoT dans le monde. “

En cas d’exploitation de la faille de Cinterion, les attaquants pourraient potentiellement accéder à la richesse des données confidentielles stockées par les modules. Cela peut inclure la propriété intellectuelle (IP), les informations d’identification, les mots de passe, les clés de chiffrement et plus encore. Et, en raison de la vaste gamme d’appareils connectés alimentés par ce module, des appareils médicaux aux utilitaires connectés, les chercheurs préviennent que l’impact potentiel de la faille pourrait être grave s’il n’est pas corrigé.

Par exemple, la faille de Cinterion pourrait être utilisée dans des dispositifs médicaux qui utilisent le module pour manipuler les lectures des dispositifs de surveillance, pour dissimuler des signes vitaux ou créer une fausse panique.

«Dans un appareil qui délivre un traitement basé sur ses entrées, comme une pompe à insuline, les cybercriminels peuvent surdoser ou sous-doser les patients», ont déclaré les chercheurs.

Et dans l’espace utilitaire, la vulnérabilité de Cinterion pourrait être utilisé pour compromettre les compteurs intelligents afin de fournir des lectures falsifiées qui augmentent ou réduisent une facture mensuelle.

«Avec l’accès à un grand nombre de ces appareils via un réseau de contrôle, un acteur malveillant pourrait également fermer les compteurs pour une ville entière, provoquant des pannes de courant de grande ampleur qui nécessitent des visites pour des réparations individuelles ou, pire encore, des dégâts sur le réseau lui-même, ” ont déclaré les chercheurs.

cinterion

Les vulnérabilités et les problèmes de sécurité continuent d’affecter les appareils connectés, alors même que le nombre d’appareils connectés à Internet utilisés dans le monde devrait atteindre 55,9 milliards d’ici 2025. Plus de la moitié de tous les appareils IoT sont vulnérables aux attaques de gravité moyenne ou élevée, ce qui signifie que les entreprises sont assises sur une «bombe à retardement IoT», ont averti les chercheurs plus tôt cette année.

Les chercheurs en sécurité de X-Force ont pour leur part déclaré que ce correctif spécifique peut être administré par les fabricants d’IoT de deux manières: soit en branchant une clé USB pour exécuter une mise à jour via un logiciel, soit en administrant une mise à jour OTA (over-the-air). Cependant, les appareils les plus réglementés, y compris les appareils médicaux connectés ou les équipements de contrôle industriel, auront plus de difficulté à appliquer le patch, car cela peut nécessiter une recertification, un processus souvent long, ont-ils déclaré.

«Le processus de correction de cette vulnérabilité dépend entièrement du fabricant de l’appareil et de ses capacités, par exemple, le fait que l’appareil ait accès à Internet ou non pourrait compliquer le travail», ont-ils déclaré.

Si cet article concernant une faille de Cinterion vous a plu, jetez un œil à notre article précédent.