Name:Wreck – Forscher entdecken weitere Schwachstellen in TCP/IP-Stacks

100 Millionen Geräte mit Nucleus Net (Siemens) sowie älteren FreeBSD-, NetX- und IPNet-Versionen leiden an einer Gruppe Sicherheitslücken. IoT bleibt Baustelle.

In Pocket speichern vorlesen Druckansicht 91 Kommentare lesen
Screenshot mit Schriftzug "Name:Wreck"

(Bild: ForeScout)

Lesezeit: 5 Min.
Inhaltsverzeichnis

Gleich acht Sicherheitslücken in bestimmten Versionen der TCP/IP-Stack-Implementierungen von Nucleus Net (Siemens), FreeBSD und NetX alias Azure RTOS NetX (Microsoft) melden Sicherheitsforscher der Firma Forescout. Hinzu kommt eine "wiederentdeckte", aber schon lange gepatchte Lücke in IPNet. Die Forscher nennen ihre aktuelle Entdeckung "Name:Wreck".

Im Rahmen ihres "Project Memoria" untersuchen die Forscher verschiedene TCP/IP-Stacks auf Schwachstellen. Dabei sind sie wiederholt fündig geworden: Name:Wreck folgt den Schwachstellen-Sammlungen Ripple20, Amnesia:33 und Number:Jack.

Zum Einsatz kommen die Stacks insbesondere auf Servern unter FreeBSD, aber auch in den Bereichen Operational Technology (OT, zur Überwachung und Steuerung physischer Systeme und Prozesse) und Internet of Things (IoT). Der Schweregrad der Lücken reicht von "Medium" bis "High". Unter bestimmten Voraussetzungen könnten sie missbraucht werden, um aus der Ferne Denial-of-Service (DoS)-Zustände auszulösen, auf sensible Daten zuzugreifen oder Code auf verwundbaren Systemen auszuführen (Remote Code Execution, RCE). Bislang sind keine aktiven Angriffe bekannt.

Die Forscher schätzen, dass nur rund ein Prozent aller Geräte, auf denen ThreadX, Nucleus RTOS oder FreeBSD als Betriebssystem laufen, verwundbar sind. Nicht nur die verwendete Version entscheide über die Angreifbarkeit, sondern es muss auch die DNS-Client-Komponente des Stacks aktiviert sein. Zudem würde von Geräteherstellern mitunter ein nicht verwundbarer TCP/IP-Stack eines Drittanbieters mit dem betreffenden Betriebssystem kombiniert.

Dennoch gehen die Forescout-Experten von mindestens 100 Millionen verwundbaren Geräten weltweit aus. Dabei dürfte es sich vielfach, wie schon bei den früheren Schwachstellen-Sammlungen von Forescout, um IoT-Geräte handeln, deren Besitzer in puncto Updates von den jeweiligen Herstellern abhängig sind.

Informationen zu teils schon länger verfügbaren Updates haben wir im letzten Abschnitt dieser Meldung zusammengetragen.

Für angreifbar befunden wurden FreeBSD 12.1, der IPNet-Stack im (schon recht betagten, den EoL-Status erreichten!) VXWorks 6.6, NetX 6.0.1 und Nucleus NET 4.3. Mindestens im Fall von Nucleus Net sind, wie aus den am Ende dieser Meldung verlinkten Advisories hervorgeht, auch neuere Versionen verwundbar. FreeBSD wiederum ist bereits seit vergangenem Jahr abgesichert.

Im Einzelnen wurden folgende Schwachstellen entdeckt:

  • CVE-2020-7461, FreeBSD, CVSS 7.7 (High)
  • CVE-2020-15795, Nucleus Net, CVSS 8.1 (High)
  • CVE-2020-27009, Nucleus Net, CVSS 8.1 (High)
  • CVE-2020-27736, Nucleus Net, CVSS 6.5 (Medium)
  • CVE-2020-27737, Nucleus Net, CVSS 6.5 (Medium)
  • CVE-2020-27738, Nucleus Net, CVSS 6.5 (Medium)
  • CVE-2021-25677, Nucleaus Net, CVSS 5.3 (Medium)
  • (keine CVE-Nummer), NetX, CVSS-Score 6.5 (Medium)

Eine neunte Schwachstelle in IPNet stammt bereits von 2016 und wurde ursprünglich von einem anderen Forscherteam gemeldet. Ihr wurde vergangenen Monat nach ihrer "Wiederentdeckung" durch Forescout nachträglich eine spezielle End-of-Life-CVE-Nummer (CVE-2016-20009) zugeordnet. Update-Bedarf besteht hier nicht mehr.

Im Zuge ihrer Stack-Analysen haben die Forscher die DNS-Client-Komponente unter die Lupe genommen, genauer: die Umsetzung der so genannten "Message Compression", einem Feature zum Komprimieren von Daten in DNS-Paketen. Message Compression erlaubt insbesondere das Komprimieren sich mehrfach wiederholender Domain-Namen, um die Paketgröße zu reduzieren. Nähere Informationen hierzu sind der Domain Implementation and Specification RC 1035 (Abschnitt 4.1.4) zu entnehmen.

Fünf der Schwachstellen stecken in TCP/IP-Stack-Code, der für das Dekomprimieren/Parsen derart komprimierter Daten zuständig sind: Wenn es einem Angreifer gelingt, etwa im Zuge eines Man-in-the-Middle-Angriffs als Antwort auf legitime DNS-Requests speziell präparierte DNS-Response-Pakete an ein verwundbares System zurückschicken, kann sich ein fehlerbehafteter Parser daran verschlucken. Die Folgen können laut Forescout DoS-Zustände, unbefugte Datenzugriffe und RCE sein.

Vier der Schwachstellen in Nucleus Net (CVE-2020-15795, CVE-2020-27736, CVE-2020-27737 und CVE-2021-25677) basieren laut Forescout nicht unmittelbar auf Message Compression-Fehlern. Sie können jedoch mit den beiden anderen Nucleus-Schwachstellen kombiniert werden, um deren Effekt zu verstärken. Auch OS-übergreifende Exploit-Chains sind möglich. Ein Beispiel für ein mögliches Angriffsszenario über eine Schwachstellen-Kombination sowie weitere technische Details liefert Forescouts ausführlicher Bericht zu Name:Wreck.

Das Forescout-Team hat sein schon zuvor veröffentlichtes Open-Source-Skript zum Scannen nach verwundbaren TCP/IP-Stacks ("Project Memoria Detector") so aktualisiert, dass auch die Name:Wreck-Schwachstellen erkannt werden. Zudem sind diverse Zusatz- und Update-Informationen verfügbar.

(ovw)