BSI zu Amnesia:33: Nicht alle kontaktierten Firmen reagierten auf TCP/IP-Lecks
In einem Statement zu den "Amnesia:33"-Schwachstellen teilt das BSI die Einschätzung der Entdecker weitgehend und warnt zudem vor weiterhin fehlenden Updates.
Das Bundesamt für Sicherheit in der Informationstechnik in Bonn.
(Bild: dpa, Oliver Berg)
Im Rahmen einer Schwachstellen-Untersuchung mit dem Titel "Amnesia:33" haben Sicherheitsforscher des Unternehmens Forescout mittels Fuzzing, einer Variante automatisierter automatisierter Software-Tests, sowie mittels statischer Code-Analysen insgesamt 33 Schwachstellen in vier verschiedenen Open Source-TCP/IP-Netzwerk-Stacks entdeckt. Am heutigen Dienstagmorgen hat Forescout seine Untersuchungsergebnisse veröffentlicht. In einem Statement beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine Rolle beim vorangegangenen Coordinated Vulnerability Disclosure (CVD)-Prozess sowie seine eigene, in weiten Teilen mit der der Forscher übereinstimmende Bewertung der Schwachstellen.
"Amnesia:33 hat Schwachstellen in Netzwerk-Stacks in breit eingesetzten Softwarekomponenten aufgezeigt, die teilweise kritisch sind", bestätigt BSI-Präsident Arne Schönbohm im BSI-Statement. Potenziell betroffen seien Unternehmen, darunter auch Betreiber Kritischer Infrastrukturen, ebenso wie Privatanwenderinnen und -anwender von IoT-Geräten.
Amnesia:33 zeige, "wie ein verantwortlicher Umgang mit Schwachstellen über Landesgrenzen hinweg funktionieren kann". Zum anderen verdeutliche der Vorfall aber auch "die Komplexität heutiger vernetzter IT-Systeme und -Infrastrukturen". Dass sie zum Teil aus zahlreichen Einzelkomponenten bestünden, mache es "sehr schwierig, einen schnellen Überblick über vorhandene Updates und Security Advisories für mögliche Schwachstellen in den Produkten zu bekommen."
heise Security hat Amnesia:33 ausführlich in einer separaten Meldung thematisiert.
Update 08.12./09.12.20, 19:08+13:15: Mittlerweile liegen Security Advisories von CISA und CERT/CC vor, die konkrete Hersteller und Produkte benennen. In eigenen Advisories haben CISA und CERT/CC mittlerweile nun auch verwundbare Stack-Versionen und Produkte verschiedener Hersteller benannt. Wir haben die Informationen in einer eigenen Meldung zusammengefasst:
BSI: Einige Geräte bleiben wohl verwundbar
Nach eigenen Angaben wurde das BSI Anfang September 2020 von der US-Behörde CISA (Cybersecurity & Infrastructure Security Agency) um Unterstützung beim Prozess der koordinierten, verantwortungsvollen Offenlegung (Coordinated Vulnerability Disclosure, CVD) gebeten. Auch CERT/CC (USA) und JPCERT/CC (Japan) hätten mitgewirkt. Als für den europäischen Raum verantwortliche Behörde habe das BSI außerdem Unterstützung von anderen europäischen CERTs erhalten.
"Das BSI hat 31 Unternehmen kontaktiert, davon 14 in Deutschland", konkretisiert Schönbohm. Allen Unternehmen, die reagiert hätten, habe man bei der Schließung der Schwachstellen helfen können; einige hätten allerdings auch gar keine Reaktion gezeigt. Die Forscher von Forescout schätzen die Zahl der betroffenen Hersteller in ihrer Veröffentlichung auf über 150. Das BSI wiederum hob die Schwierigkeiten bei der Identifikation hervor: Es sei "nahezu ausgeschlossen, dass alle Hersteller identifiziert werden konnten, die die betroffenen Netzwerkstacks einsetzen." Da die Kontaktversuche zudem teils ignoriert wurden, müsse "in jedem Fall davon ausgegangen werden (...), dass ein Teil der Geräte verwundbar" bleibe.
Zur Schwere der Schwachstellen trägt nach Einschätzung des BSI bei, dass in einigen Fällen "der verwundbare Code zur Verarbeitung von Netzwerkverkehr auf unterer Ebene genutzt wird". Die Ausführung geschehe, "bevor Sicherheitsmechanismen des Betriebssystems bzw. eventuell vorhandene Antivirensoftware zum Tragen kommen". Das BSI betonte auch, dass insbesondere industrielle Komponenten nicht direkt aus dem Internet erreichbar sein dürfen. Netze innerhalb von Unternehmen sollten "entsprechend segmentiert werden, um die Angriffsfläche zu verringern und eine Ausbreitung zu erschweren".
"Das Grundproblem ist hier nicht die Open Source"
In einem anderen Punkt der Amnesia:33-Untersuchung, nämlich in der Frage nach der allgemeinen Verwundbarkeit, sieht das BSI wiederum Einschränkungsbedarf: Nicht alle identifizierten Hersteller und Komponenten seien auch tatsächlich von allen Schwachstellen betroffen.
Einfluss auf die Angreifbarkeit hätten unter anderem das (Nicht-)Vorhandensein zusätzlicher Schutzmaßnahmen, die individuelle Konfiguration und das Aktiviertsein bestimmter Funktionen. Zudem könne es immer auch sein, dass "Hersteller oder verwandte Open Source Projekte Funktionen aus verschiedensten Gründen neu geschrieben und dabei Fehler behoben" hätten. Das Grundproblem sei nicht Open Source, betont das BSI, "denn auch bei Closed-Source-Software sind die Probleme vergleichbar. Dies haben die Schwachstellen URGENT/11 bzw. Ripple20 gezeigt."
Um künftig vor allem auch Unternehmen, die Systeme aus vielen (potenziell verwundbaren) Einzelkomponenten nutzen, die Übersicht zu erleichtern, arbeite man gemeinsam mit nationalen und internationalen Partnern derzeit verstärkt an einem maschinenverarbeitbare Format für Security Advisories. CSAF 2.0 soll das automatisierte Abrufen von Advisories ermöglichen und voraussichtlich im ersten Halbjahr 2021 erscheinen.
(ovw)