zurück zum Artikel

BSI zu Amnesia:33: Nicht alle kontaktierten Firmen reagierten auf TCP/IP-Lecks Update

Olivia von Westernhagen
BSI

Das Bundesamt fĂŒr Sicherheit in der Informationstechnik in Bonn.

(Bild: dpa, Oliver Berg)

In einem Statement zu den "Amnesia:33"-Schwachstellen teilt das BSI die EinschÀtzung der Entdecker weitgehend und warnt zudem vor weiterhin fehlenden Updates.

Im Rahmen einer Schwachstellen-Untersuchung mit dem Titel "Amnesia:33" haben Sicherheitsforscher des Unternehmens Forescout mittels Fuzzing, einer Variante automatisierter automatisierter Software-Tests, sowie mittels statischer Code-Analysen insgesamt 33 Schwachstellen in vier verschiedenen Open Source-TCP/IP-Netzwerk-Stacks entdeckt. Am heutigen Dienstagmorgen hat Forescout seine Untersuchungsergebnisse veröffentlicht. In einem Statement beschreibt das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) seine Rolle beim vorangegangenen Coordinated Vulnerability Disclosure (CVD)-Prozess sowie seine eigene, in weiten Teilen mit der der Forscher ĂŒbereinstimmende Bewertung der Schwachstellen.

"Amnesia:33 hat Schwachstellen in Netzwerk-Stacks in breit eingesetzten Softwarekomponenten aufgezeigt, die teilweise kritisch sind", bestÀtigt BSI-PrÀsident Arne Schönbohm im BSI-Statement. Potenziell betroffen seien Unternehmen, darunter auch Betreiber Kritischer Infrastrukturen, ebenso wie Privatanwenderinnen und -anwender von IoT-GerÀten.

Amnesia:33 zeige, "wie ein verantwortlicher Umgang mit Schwachstellen ĂŒber Landesgrenzen hinweg funktionieren kann". Zum anderen verdeutliche der Vorfall aber auch "die KomplexitĂ€t heutiger vernetzter IT-Systeme und -Infrastrukturen". Dass sie zum Teil aus zahlreichen Einzelkomponenten bestĂŒnden, mache es "sehr schwierig, einen schnellen Überblick ĂŒber vorhandene Updates und Security Advisories fĂŒr mögliche Schwachstellen in den Produkten zu bekommen."

heise Security hat Amnesia:33 ausfĂŒhrlich in einer separaten Meldung [1] thematisiert.

Update 08.12./09.12.20, 19:08+13:15: Mittlerweile liegen Security Advisories von CISA und CERT/CC vor, die konkrete Hersteller und Produkte benennen. In eigenen Advisories haben CISA und CERT/CC mittlerweile nun auch verwundbare Stack-Versionen und Produkte verschiedener Hersteller benannt. Wir haben die Informationen in einer eigenen Meldung zusammengefasst:

Lesen Sie auch

BSI: Einige GerÀte bleiben wohl verwundbar

Nach eigenen Angaben wurde das BSI Anfang September 2020 von der US-Behörde CISA (Cybersecurity & Infrastructure Security Agency) um UnterstĂŒtzung beim Prozess der koordinierten, verantwortungsvollen Offenlegung (Coordinated Vulnerability Disclosure, CVD) gebeten. Auch CERT/CC (USA) und JPCERT/CC (Japan) hĂ€tten mitgewirkt. Als fĂŒr den europĂ€ischen Raum verantwortliche Behörde habe das BSI außerdem UnterstĂŒtzung von anderen europĂ€ischen CERTs erhalten.

"Das BSI hat 31 Unternehmen kontaktiert, davon 14 in Deutschland", konkretisiert Schönbohm. Allen Unternehmen, die reagiert hĂ€tten, habe man bei der Schließung der Schwachstellen helfen können; einige hĂ€tten allerdings auch gar keine Reaktion gezeigt. Die Forscher von Forescout schĂ€tzen die Zahl der betroffenen Hersteller in ihrer Veröffentlichung auf ĂŒber 150. Das BSI wiederum hob die Schwierigkeiten bei der Identifikation hervor: Es sei "nahezu ausgeschlossen, dass alle Hersteller identifiziert werden konnten, die die betroffenen Netzwerkstacks einsetzen." Da die Kontaktversuche zudem teils ignoriert wurden, mĂŒsse "in jedem Fall davon ausgegangen werden (...), dass ein Teil der GerĂ€te verwundbar" bleibe.

Zur Schwere der Schwachstellen trĂ€gt nach EinschĂ€tzung des BSI bei, dass in einigen FĂ€llen "der verwundbare Code zur Verarbeitung von Netzwerkverkehr auf unterer Ebene genutzt wird". Die AusfĂŒhrung geschehe, "bevor Sicherheitsmechanismen des Betriebssystems bzw. eventuell vorhandene Antivirensoftware zum Tragen kommen". Das BSI betonte auch, dass insbesondere industrielle Komponenten nicht direkt aus dem Internet erreichbar sein dĂŒrfen. Netze innerhalb von Unternehmen sollten "entsprechend segmentiert werden, um die AngriffsflĂ€che zu verringern und eine Ausbreitung zu erschweren".

"Das Grundproblem ist hier nicht die Open Source"

In einem anderen Punkt der Amnesia:33-Untersuchung, nÀmlich in der Frage nach der allgemeinen Verwundbarkeit, sieht das BSI wiederum EinschrÀnkungsbedarf: Nicht alle identifizierten Hersteller und Komponenten seien auch tatsÀchlich von allen Schwachstellen betroffen.

Einfluss auf die Angreifbarkeit hĂ€tten unter anderem das (Nicht-)Vorhandensein zusĂ€tzlicher Schutzmaßnahmen, die individuelle Konfiguration und das Aktiviertsein bestimmter Funktionen. Zudem könne es immer auch sein, dass "Hersteller oder verwandte Open Source Projekte Funktionen aus verschiedensten GrĂŒnden neu geschrieben und dabei Fehler behoben" hĂ€tten. Das Grundproblem sei nicht Open Source, betont das BSI, "denn auch bei Closed-Source-Software sind die Probleme vergleichbar. Dies haben die Schwachstellen URGENT/11 [2] bzw. Ripple20 gezeigt."

Um kĂŒnftig vor allem auch Unternehmen, die Systeme aus vielen (potenziell verwundbaren) Einzelkomponenten nutzen, die Übersicht zu erleichtern, arbeite man gemeinsam mit nationalen und internationalen Partnern derzeit verstĂ€rkt an einem maschinenverarbeitbare Format fĂŒr Security Advisories. CSAF 2.0 soll das automatisierte Abrufen von Advisories ermöglichen und voraussichtlich im ersten Halbjahr 2021 erscheinen.

Jetzt heise security PRO entdecken Jetzt heise security PRO entdecken [3]

(ovw [4])

URL dieses Artikels:
https://www.heise.de/-4982783

Links in diesem Artikel:
[1] https://www.heise.de/news/Amnesia-33-ein-Ripple20-Deja-vu-im-Open-Source-Gewand-4982063.html
[2] https://www.heise.de/news/Jetzt-patchen-Kritische-Schwachstellen-im-Betriebssystem-VxWorks-behoben-4481709.html
[3] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[4] mailto:olivia.von.westernhagen@gmail.com

Copyright © 2020 Heise Medien