Amnesia:33 – Sicherheitslücken in TCP/IP-Stacks betreffen Millionen Geräte

Ein Ripple20-Déjà-vu im Open-Source-Gewand: Bugs in vier quelloffenen TCP/IP-Stacks reißen Lecks in Millionen beruflich und privat genutzte Geräte.

In Pocket speichern vorlesen Druckansicht 591 Kommentare lesen

(Bild: NicoElNino/Shutterstock.com)

Update
Lesezeit: 7 Min.
Inhaltsverzeichnis

Im Juni dieses Jahres erschütterte "Ripple20" (nicht nur) das Internet der Dinge: 19 Schwachstellen in einem TCP/IP-Stack für Embedded-Geräte machten nach Einschätzung ihrer Entdecker "hunderte von Millionen" Geräte angreifbar. Nun haben Stack-Analysen eines anderen Forscherteams mittels Fuzzing, einer Variante automatisierter Software-Tests, sowie mittels statischer Code-Analysen 33 neue Schwachstellen aufgedeckt, von denen drei als kritisch eingestuft wurden.

Anders als Ripple20 betreffen die Schwachstellen aus der "Amnesia:33"-Sammlung aber nicht nur den Code eines einzigen Stacks. Vielmehr verteilen sie sich auf vier von insgesamt sieben analysierten TCP/IP-Stack-Implementierungen. Im Einzelnen handelt es sich um die Stacks uIP, Nut/Net, picoTCP und FNET. Dass es sich bei den verwundbaren Stacks ausnahmslos um (modularen) Open-Source-Code handelt, der immer wieder geforkt, verändert und in verschiedenen Varianten implementiert wurde, macht die Eingrenzung betroffener Unternehmen und Produkte extrem schwierig. Zusätzlich wird die Eingrenzung dadurch erschwert, dass manchem Gerätehersteller gar nicht zwingend bewusst ist, dass zugekaufte Komponenten von Drittherstellern den verwundbaren Code nutzen.

Über 15 Millionen Geräte verwenden nach Forescouts Erkenntnissen einen von drei verwundbaren Stacks. Zum vierten, FNET, lagen dem Unternehmen nach eigenen Angaben keine Daten vor.

(Bild: Forescout)

Das Unternehmen Forescout, dass die Amnesia:33-Schwachstellen entdeckt hat, schätzt, dass Millionen von IoT-, OT- und IT-Produkten von mehr als 150 Herstellern über eine oder mehrere der Amnesia:33-Schwachstellen angreifbar sind.

Update 08.12./09.12.20, 19:03+13:05: Mittlerweile liegen Advisories von CISA und CERT/CC vor, die konkrete Hersteller und Produkte benennen. Wir haben die Informationen sowie einen neuen, zusammenfassenden Artikel am Ende dieser Meldung verlinkt.

Der TCP/IP-Stack muss als erste Instanz alle Netzwerkdaten verarbeiten – auch bösartigen eingehenden Traffic eines Angreifers. Folglich können Programmierfehler gerade an dieser Stelle schlimme Folgen haben. Im Falle von Amnesia:33 könnten sie mittels speziell präparierter Datenpakete missbraucht werden, um Denial-of-Service (DoS)-Angriffe durchzuführen, vertrauliche Informationen abzugreifen oder mittels eingeschleuster DNS-Einträge Datenverkehr zu einer Domain des Angreifers umzuleiten (DNS cache poisoning).

Vier Schwachstellen, von denen drei als "kritisch" eingestuft wurden, bergen laut Forescout überdies Potenzial zur unbefugten Codeausführung aus der Ferne (Remote Code Execution) "auf bestimmten Geräten". Schlimmstenfalls könnten Angreifer auf diesem Wege die Kontrolle übernehmen und das Gerät als Einfallstor ins Netzwerk missbrauchen. Bis auf drei "Medium"-Ausnahmen geht von den übrigen Schwachstellen ein hohes Risiko aus. Bei den meisten handelt es sich um DoS-Schwachstellen, gefolgt von der Gefahr des Informationsdiebstahls, RCE (in vier Fällen) und Cache Poisoning (in einem Fall).

Lediglich als Beispiele für verwundbare Geräte nennt das Unternehmen folgende netzwerkfähige Gerätetypen:

  • IoT (Internet of Things): Kameras, Umgebungssensoren (z. B. Temperatur, Luftfeuchtigkeit), intelligente Beleuchtung, intelligente Stecker, Strichcodelesegeräte, Spezialdrucker, Audiosysteme für den Einzelhandel, Geräte in Krankenhäusern
  • OT (Operational Technology): Gebäudeautomationssysteme (GA) wie physische Zugangskontrolle, Feuer- und Rauchmelder, Stromzähler, HVAC (Heating, Ventilation and Air Conditioning (dt. Heizung, Lüftung, Klimatechnik), industrielle Steuerungssysteme (ICS) wie PLCs, RTUs, Protokoll-Gateways und Seriell-Ethernet-Gateways
  • IT: Drucker, Switches und WLAN-Access-Points

Der größte Anteil angreifbarer Geräte entfalle auf das Internet der Dinge (46 Prozent), gefolgt von OT (je 19 Prozent in den Teilbereichen GA und ICS) und schließlich IT mit 16 Prozent. Auf Nachfrage von heise Security sagte Forescout, dass zwar eine Vielzahl von Gerätetypen für den Business-Einsatz vertreten sei. Die große Menge verkaufter IoT-Geräte für Privatnutzer sorge jedoch dafür, dass die Gefahr auch für diese recht groß sei.

Die Angriffskomplexität ist laut Forescout in vielen Fällen gering, die Schwachstellen sehr "grundliegend". Wie schon bei Ripple20 spielt die Tatsache, dass viele IoT-Geräte für Privatnutzer – oftmals billige No-Name-Produkte – schlecht abgesichert sind und niemals Updates erhalten, Angreifern in die Hände. Unternehmensnetzwerke wiederum bieten eine höhere Zahl miteinander vernetzter, potenzieller Angriffspunkte.