Avis: Les pare-feu physiques SonicWall utilisant certaines versions de SonicOS utilisent un code TCP/IP tiers pour la gestion à distance qui contient des vulnérabilités appelées URGENT/11. À l’heure actuelle, rien n’indique que les vulnérabilités découvertes soient exploitées à l’état sauvage, cependant :

SonicWall recommande FORTEMENT d’appliquer immédiatement le correctif SonicOS. Les correctifs sont disponibles pour toutes les versions récentes de SonicOS. Des instructions détaillées sont fournies dans le document Conseil de sécurité.

SonicWall fournit gratuitement les versions corrigées de SonicOS, y compris pour les clients qui ne sont pas actuellement couverts par un contrat d’assistance actif. SonicWall recommande également la mise à jour à la dernière version de SonicOS (6.5.4.4), qui offre des capacités de pare-feu pour aider à protéger d’autres appareils vulnérables à l’URGENT/11.

Vulnérabilités Wind River VxWorks et URGENT/11

Les chercheurs en sécurité d’Armis ont découvert et divulgué de manière responsable 11 vulnérabilités dans la pile TCP/IP du système d’exploitation en temps réel VxWorks de Wind River, qui est utilisé par des millions d’appareils à travers le monde, ainsi que dans l’espace, sur Mars, et dans certaines versions de SonicOS. La pile TCP/IP VxWorks Wind River, appelée IPNET, contient des vulnérabilités qui ont été baptisées « URGENT/11 ». Le type de vulnérabilité de matériel ayant affecté SonicOS est pris en charge par les versions du correctif.

Impossible à gérer et à corriger : le Far West de l’IdO

Wind River VxWorks est un système d’exploitation en temps réel largement utilisé dans l’IdO et les applications embarquées, comme les réseaux, les télécommunications, l’automobile, la santé, l’industrie, l’électronique grand public, l’aérospatial et au-delà.

Alors que les pare-feu visent à protéger les périmètres des entreprises, ils sont gérés et surveillés activement, souvent depuis un emplacement central. Pour chaque pare-feu, il y a une personne qui se réveille chaque matin en se demandant : « Mon pare-feu fonctionne-t-il ? Est-il à jour ? » Dans les jours qui suivent la publication d’une mise à jour, ces personnes programment une fenêtre de maintenance et comblent les failles de sécurité.

Cependant, pour la plus grande majorité des autres appareils connectés ou exposés à Internet, ces personnes n’existent pas, et le nombre d’appareils de l’« IdO » est clairement plus important que celui des pare-feu. C’est cette multitude d’appareils connectés qui ne sont pas gérés ou réparés activement qui présente un risque de type iceberg pour Internet. Des vulnérabilités finissent par être découvertes, même sur les meilleurs logiciels, et la sécurité d’Internet et de l’écosystème en ligne repose sur la capacité à diffuser et à déployer les correctifs.

Dans la mise à jour semestrielle du Rapport sur les cybermenaces de SonicWall – 2019, les chercheurs des Capture Labs de SonicWall ont déjà enregistré 13,5 millions d’attaques sur l’IdO, soit 54,6 % de plus que les deux premiers trimestres de 2018.

Cette réalité s’impose chez les spécialistes de la sécurité, mais aussi chez les régulateurs gouvernementaux, car des centaines de millions d’appareils connectés à Internet sont jugés vulnérables et ne sont pas corrigés.

C’est l’un des aspects sous-jacents risqués d’Internet, mené par l’explosion des appareils d’IdO, y compris des appareils de bonne qualité pour le grand public qui sont fréquemment déployés à la pointe de l’Internet et oubliés pendant une décennie. La portée élargie de l’IdO devrait se propager à travers plusieurs secteurs et agir comme une prise de conscience.

« N’arrêtez jamais d’appliquer des correctifs »

L’armement des vulnérabilités publiées par rapport aux anciens logiciels sert de rappel important pour que les clients ne retardent jamais les mises à jour logicielles, qui sont l’une des mesures les plus importantes que vous puissiez prendre pour sécuriser votre infrastructure face à l’évolution rapide du paysage des menaces.

Ne les ignorez pas et ne les retardez pas. Appliquez le correctif maintenant. Et n’arrêtez jamais d’appliquer des correctifs.