Amnesia:33 – Sicherheitslücken in TCP/IP-Stacks betreffen Millionen Geräte

  • Allgemein

  • mad.de
  • 270 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Amnesia:33 – Sicherheitslücken in TCP/IP-Stacks betreffen Millionen Geräte

    Ein Ripple20-Déjà-vu im Open-Source-Gewand: Bugs in vier quelloffenen TCP/IP-Stacks reißen Lecks in Millionen beruflich und privat genutzte Geräte.

    Im Juni dieses Jahres erschütterte "Ripple20" (nicht nur) das Internet der Dinge: 19 Schwachstellen in einem TCP/IP-Stack für Embedded-Geräte machten nach Einschätzung ihrer Entdecker "hunderte von Millionen" Geräte angreifbar. Nun haben Stack-Analysen eines anderen Forscherteams mittels Fuzzing, einer Variante automatisierter Software-Tests, sowie mittels statischer Code-Analysen 33 neue Schwachstellen aufgedeckt, von denen drei als kritisch eingestuft wurden.

    Anders als Ripple20 betreffen die Schwachstellen aus der "Amnesia:33"-Sammlung aber nicht nur den Code eines einzigen Stacks. Vielmehr verteilen sie sich auf vier von insgesamt sieben analysierten TCP/IP-Stack-Implementierungen. Im Einzelnen handelt es sich um die Stacks uIP, Nut/Net, picoTCP und FNET. Dass es sich bei den verwundbaren Stacks ausnahmslos um (modularen) Open-Source-Code handelt, der immer wieder geforkt, verändert und in verschiedenen Varianten implementiert wurde, macht die Eingrenzung betroffener Unternehmen und Produkte extrem schwierig. Zusätzlich wird die Eingrenzung dadurch erschwert, dass manchem Gerätehersteller gar nicht zwingend bewusst ist, dass zugekaufte Komponenten von Drittherstellern den verwundbaren Code nutzen.



    Das Unternehmen Forescout, dass die Amnesia:33-Schwachstellen entdeckt hat, schätzt, dass Millionen von IoT-, OT- und IT-Produkten von mehr als 150 Herstellern über eine oder mehrere der Amnesia:33-Schwachstellen angreifbar sind.

    Wir werden vor allem die letzten Abschnitte dieser Meldung im Laufe des Tages bei Bedarf um Handlungsempfehlungen, verfügbare Updates und Statements von IT-Sicherheitsbehörden ergänzen.

    Präparierte Datenpakete als mögliches Einfallstor
    Der TCP/IP-Stack muss als erste Instanz alle Netzwerkdaten verarbeiten – auch bösartigen eingehenden Traffic eines Angreifers. Folglich können Programmierfehler gerade an dieser Stelle schlimme Folgen haben. Im Falle von Amnesia:33 könnten sie mittels speziell präparierter Datenpakete missbraucht werden, um Denial-of-Service (DoS)-Angriffe durchzuführen, vertrauliche Informationen abzugreifen oder mittels eingeschleuster DNS-Einträge Datenverkehr zu einer Domain des Angreifers umzuleiten (DNS cache poisoning).

    Vier Schwachstellen, von denen drei als "kritisch" eingestuft wurden, bergen laut Forescout überdies Potenzial zur unbefugten Codeausführung aus der Ferne (Remote Code Execution) "auf bestimmten Geräten". Schlimmstenfalls könnten Angreifer auf diesem Wege die Kontrolle übernehmen und das Gerät als Einfallstor ins Netzwerk missbrauchen. Bis auf drei "Medium"-Ausnahmen geht von den übrigen Schwachstellen ein hohes Risiko aus. Bei den meisten handelt es sich um DoS-Schwachstellen, gefolgt von der Gefahr des Informationsdiebstahls, RCE (in vier Fällen) und Cache Poisoning (in einem Fall).

    IoT-Geräte (wieder) am stärksten betroffen
    Lediglich als Beispiele für verwundbare Geräte nennt das Unternehmen folgende netzwerkfähige Gerätetypen:
    • IoT (Internet of Things): Kameras, Umgebungssensoren (z. B. Temperatur, Luftfeuchtigkeit), intelligente Beleuchtung, intelligente Stecker, Strichcodelesegeräte, Spezialdrucker, Audiosysteme für den Einzelhandel, Geräte in Krankenhäusern
    • OT (Operational Technology): Gebäudeautomationssysteme (GA) wie physische Zugangskontrolle, Feuer- und Rauchmelder, Stromzähler, HVAC (Heating, Ventilation and Air Conditioning (dt. Heizung, Lüftung, Klimatechnik), industrielle Steuerungssysteme (ICS) wie PLCs, RTUs, Protokoll-Gateways und Seriell-Ethernet-Gateways
    • IT: Drucker, Switches und WLAN-Access-Points
    Der größte Anteil angreifbarer Geräte entfalle auf das Internet der Dinge (46 Prozent), gefolgt von OT (je 19 Prozent in den Teilbereichen GA und ICS) und schließlich IT mit 16 Prozent. Auf Nachfrage von heise Security sagte Forescout, dass zwar eine Vielzahl von Gerätetypen für den Business-Einsatz vertreten sei. Die große Menge verkaufter IoT-Geräte für Privatnutzer sorge jedoch dafür, dass die Gefahr auch für diese recht groß sei.

    Die Angriffskomplexität ist laut Forescout in vielen Fällen gering, die Schwachstellen sehr "grundliegend". Wie schon bei Ripple20 spielt die Tatsache, dass viele IoT-Geräte für Privatnutzer – oftmals billige No-Name-Produkte – schlecht abgesichert sind und niemals Updates erhalten, Angreifern in die Hände. Unternehmensnetzwerke wiederum bieten eine höhere Zahl miteinander vernetzter, potenzieller Angriffspunkte.

    CVE-Nummern und (Update-)Hinweise
    Forescout hat Hersteller, deren Produkte oder Komponenten bekanntermaßen verwundbaren Code nutzen, in Zusammenarbeit mit mehreren CERTs, darunter das US-amerikanische ICS-CERT der CISA und das CERT Coordination Center (CERT/CC) nach eigenen Angaben vier Monate im Voraus informiert, um ihnen ausreichend Zeit zum Patchen zu geben. "Verschiedene CERT-Agenturen haben die Antworten der Hersteller koordiniert, und morgen werden viele Hersteller ihre Kunden darüber informieren, welche Geräte betroffen sind und was zu tun ist", teilte Forescout gegenüber heise Security mit. Das ebenfalls am Coordinated Vulnerability Disclosure-Prozess beteiligte BSI äußerte sich in einem eigenen Statement, dem wir eine separate Meldung widmen.

    Forescout-Kunden sollen auf der unternehmenseigenen Plattform ab heute mit einem speziellen Tool ausprobieren können, ob ihr Netzwerk verwundbare Geräte aufweist. Eine andere, kostenlose Testmöglichkeit gibt es bislang aber (noch) nicht. Somit bleibt nur, Updates – soweit verfügbar – zeitnah einzuspielen und dabei Ausschau nach Hinweisen auf die CVE-Nummern zu Amnesia:33 zu halten. Für die vier RCE-Schwachstellen lauten diese:
    • CVE-2020-24336 (CVSS-Score 9.8/"Critical", RCE, uIP)
    • CVE-2020-24338 (CVSS-Score 9.8/"Critical", RCE, picoTP)
    • CVE-2020-25111 (CVSS-Score 9.8/"Critical", RCE, Nut/Net)
    • CVE-2020-25112 (CVSS-Score 8.1/"High", RCE, uIP)/list]Eine Gesamtübersicht über alle 33 CVE-IDs ist, ebenso wie weitere technische Details, Forescouts Report zu Amnesia:33 (ab Seite 10) zu entnehmen. Weitere Informationen liefern auch die Blogeinträge:
      • Amnesia:33 im Überblick bei Forescout
      • Technischer Blogeintrag zu Amnesia:33
      Dort ist übrigens, trotz der Einstufung von CVE-2020-25112 als "High", von vier kritischen Schwachstellen die Rede – wohl um die generell sehr hohe Gefahr zu verdeutlichen, die von RCE-Möglichkeiten ausgeht.

      Verwundbare und abgesicherte Stacks
      In einer Tabelle haben die Forscher die analysierten und von ihnen eindeutig als verwundbar identifizierten Stack-Versionen aufgeführt. Bis zum jetzigen Zeitpunkt hätten aber nur die Projekte Contiki-NG, PicoTCP-NG, FNET und Nut/Net mit offiziellen Patches nachgebessert. Das Team geht davon aus, dass die ursprünglichen Projekte uIP, Contiki und PicoTCP nicht mehr weiterentwickelt werden (End-of-Life).

      Allgemeine Vorsichtsmaßnahmen
      Ergänzend nennt Forescout noch einige Sicherheitsmaßnahmen, die die Wahrscheinlichkeit eines erfolgreichen Angriffs zumindest verringern sollen. Der Hersteller rät dazu, IPv6-Traffic, soweit nicht benötigt, zu deaktivieren oder zu blockieren, da mehrere Amnesia:33-Schwachstellen mit IPv6-Komponenten zusammenhängen. "Konfigurieren Sie die Geräte so, dass sie sich so weit wie möglich auf interne DNS-Server verlassen, und überwachen Sie den externen DNS-Verkehr genau", schreibt Forescout. Weiterhin solle man auf fehlerhafte Pakete achten und "anormalen IP-Verkehr" blockieren.

      Quelle: Amnesia:33 – Sicherheitslücken in TCP/IP-Stacks betreffen Millionen Geräte | heise online