Amnesia:33: Sicherheitshinweise und Updates zu den TCP/IP-Lecks im Überblick
CISA und CERT/CC haben Advisories zu den TCP/IP-Stack-Lücken veröffentlicht und nennen darin zumindest einige betroffene Hersteller und Produkte.
(Bild: Shutterstock.com / heise online (Collage))
Das US-amerikanische CERT Coordination Center (CERT/CC) und die Sicherheitsbehörde CISA haben Security Advisories veröffentlicht, die sich mit der am gestrigen Dienstag publik gewordenen Schwachstellen-Sammlung Amnesia:33 befassen. Sie geben einen Überblick über verwundbare und abgesicherte Stack-Versionen und nennen außerdem einige betroffene Hersteller, die teilweise auch eigene Update-Hinweise und Statements veröffentlicht haben.
Diese Meldung fasst die wichtigsten Update-Informationen aus folgenden Veröffentlichungen zusammen, die möglicherweise im Laufe des Tages noch inhaltlich aktualisiert und ergänzt werden:
- CISA-Advisory zu verwundbaren Stacks und betroffenen Herstellern
- CISA-Advisory zu betroffenen Industriekomponenten von Siemens
- CERT/CC-Advisory, ebenfalls mit Hersteller-Verweisen
Über Amnesia:33 haben wir bereits am gestrigen Dienstag berichtet; zudem haben wir einem ausführlichen Statement des BSI eine eigene Meldung gewidmet. Die Artikel finden Sie hier:
- Amnesia:33 – Sicherheitslücken in TCP/IP-Stacks betreffen Millionen Geräte
- BSI zu Amnesia:33: Nicht alle kontaktierten Firmen reagierten
Hersteller-Veröffentlichungen
Folgende Hersteller-Veröffentlichungen liegen vor:
- Devolo (neue dLAN Green PHY SDK-Version verfügbar)
- EMU Electronic AG (u.a. neue Firmware für EMU Professional TCP/IP)
- FEIG (neue Firmware für mehrere Produkte)
- Genetec (AutoVu™ Sharp cameras betroffen, SharpOS-Updates verfügbar)
- Harting (u.a. Firmware-Updates für RFID Reader Ha-VIS RF-R200)
- Hensoldt (Updates und Patches für kommerzielles TRENTOS-M SDK)
- Microchip Technology (u.a. Updates für IoT-Netzwerkcontroller-SoCs und Frameworks)
- Nanotec (Firmware-Update für N5 Ethercat Motor Controller)
- NT-Ware (Uniflow-Plattform, su.)
- Siemens (Updates für Industriekomponenten; siehe auch separates CISA-Advisory)
- Tagmaster (neue Firmware für XT-1, XT Mini)
- Uniflow (microMIND Firmware-Updates)
- Yanzi Networks (Zusammenfassung zu verfügbaren Updates)
Viele Aktualisierungen betreffen Industriekomponenten und Geräte für den Business-Bereich. Und auch abgesicherte SDKs und IoT-Komponenten schützen Privatanwender erst dann, wenn die Updates "in den Geräten ankommen". Das dürfte auch in jenen Fällen, in denen das Warten nicht hoffnungslos ist, wohl noch eine Weile dauern.
(Nicht)-Verwundbarkeit bestätigt
Das Advisory des CERT/CC liefert eine Gesamtübersicht über derzeit 165 Hersteller und die Verwundbarkeit oder Nicht-Verwundbarkeit ihrer Produkte mittels verschiedener Amnesia-Schwachstellen. Als eindeutig betroffen ("Affected") sind derzeit nur Microchip Technology und Siemens gekennzeichnet; bei vielen anderen Unternehmen lautet der Status noch "Unknown".
Laut Advisory nicht betroffen sind folgende Unternehmen (weitere können hinzukommen): Abbott Labs, Afero, Arista Networks Inc., ARM mbed TLS, Barracuda Networks, Belden, Blackberry QNX, Brocade Communication Systems, Ceragon Networks Inc, dd-wrt, Digi International, F5 Networks Inc., Fastly, Fitbit, Google, HCC, Infoblox, Intel, Juniper Networks, Nokia, Rockwell Automation, SUSE Linux, VMware, VMware Carbon Black, Wind River, Xilinx, Zephyr Project und Zyxel.
Die bislang aufgelisteten Hersteller stellen mit hoher Wahrscheinlichkeit nur eine Teilmenge der potenziell betroffenen dar. Da es sich bei den verwundbaren Stacks ausnahmslos um (modularen) Open-Source-Code handelt, der immer wieder geforkt, verändert und in verschiedenen Varianten implementiert wurde, macht die Eingrenzung extrem schwierig. Überdies dürfte manchem Gerätehersteller gar nicht zwingend bewusst sein, dass zugekaufte Komponenten von Drittherstellern den verwundbaren Code nutzen.
Verwundbare und gefixte Stacks
Die von Forescout im Amnesia:33-Report veröffentlichten Informationen zu verwundbaren Versionen der TCP/IP-Stacks beschränkten sich größtenteils auf die von ihnen analysierten Ausgaben. Die CISA macht nun genauere Angaben nebst End-of-Life (EoL)-Hinweisen; angreifbar sind demnach
- uIP-Contiki-OS (end-of-life [EOL]) bis inkl. Version 3.0
- uIP-Contiki-NG bis inkl. Version 4.5
- uIP (EOL) bis inkl. Version 1.0
- open-iscsi bis inkl. Version 2.1.1
- picoTCP-NG bis inkl. Version 1.7.0
- picoTCP (EOL) bis inkl. Version 1.7.0
- FNET Version 4.6.3
- Nut/Net bis inkl. Version 5.1
Die mit EoL versehenen Stacks sollten von Entwicklern nicht mehr genutzt werden. Die Maintainer der übrigen Projekte empfehlen den Umstieg auf
- FNET ab Version 4.7.0 aufwärts,
- die jeweils aktuelle uIP-Contiki-NG-Version beziehungsweise
- die jeweils aktuelle open-iscsi-Version.
Informationen zu abgesicherten picoTCP-NG- und Nut/Net-Versionen sollen direkt von den Entwicklern per E-Mail eingeholt werden (picoTCP-NG-Kontakt; Nut/Net-Kontakt). (ovw)
