Bereits Mitte 2020 gab es eine Vielzahl an Veröffentlichungen zu kritischen Sicherheitslücken in IoT-Systemen: Ripple20. Damals lagen die Schätzungen bei über 100 Millionen betroffenen Geräten. Im Rahmen einer weitergehenden Erforschung der IT-Sicherheit von verbundenen Geräten, haben die Experten des Sicherheitsunternehmens Fourescout Research Labs nun weitere schwere Fehler entdecken können. Wie in der kürzlich erschienenen Veröffentlichung AMNESIA:33 nachzulesen ist, sind wieder über 150 Hersteller von verschiedenen IoT, OT & IT Geräten betroffen. Die vorsichtige Schätzung von Forescout geht von ca. 15 Millionen betroffenen Geräten aus, die sich in den unterschiedlichsten unternehmerischen und auch privaten Bereichen befinden [1].
Schwachstellen ausgehend von weitverbreitendem Open-Source TCP/IP Stack
Die gefundenen Fehler gehen auf das Konto von vier verschiedenen, weit verbreiteten Netzwerkstack-Implementationen: uIP, PicoTCP, FNET, und Nut/Net. Alle vier Varianten sind Open-Source Code, der über die Zeit von vielen Beteiligten immer wieder verändert und angepasst wurde. Eine nicht genau bekannte Anzahl von Implementationen, auch teils zugekaufte Module und Systeme von Drittherstellern, verwenden solche Komponenten und Code. Kritisch ist hierbei, dass sich oft Hersteller oder Endanwender gar nicht darüber bewusst sind. Betroffen sind nahezu alle denkbaren Gerätegruppen, wie z.B. Kameras, Sensoren, Drucker, Klimaanlagen, Router & Switches, steuerbare Steckdosen und Lichter, aber auch Unterhaltungsgeräte wie Spielekonsolen.
Angriff mit speziell manipulierten IP-Paketen möglich
Besonders kritisch sind die Schwachstellen, weil sich der TCP/IP Stack im System um alle Daten vom bzw. zum Netzwerk kümmert und daher direkt mit speziell präparierten Paketen angegriffen werden kann. Die möglichen Szenarien bei Ausnutzung der Schwachstellen decken alle Worst-Case Bereiche ab: Von Denial of Service bis zum Abgreifen und Umleiten vertraulicher Informationen sowie Remote-Execution, dem Ausführen von fremden Programmen auf dem System. Durch die meist unauffällige Platzierung solcher Systeme in verschiedenen Bereichen können Angreifer auf diesem Wege die Kontrolle übernehmen und das Gerät z.B. als Einfallstor in das gesamte Netzwerk missbrauchen. Alle weiteren Details, auch z.B. wie die Sicherheitslücken über sogenanntes „Fuzzing“ entdeckt wurden, finden Sie bei Interesse im ausführlichen Report von Forescout Research Lab [2].
6 Tipps zum Umgang mit den Sicherheitslücken
Die Sicherheitsforscher geben auch konkrete Empfehlungen ab, wie mit den entdeckten Sicherheitslücken umgegangen werden soll:
- Assessment: Identifizieren Sie mögliche Geräte und Systeme die betroffen sein könnten
- Updates: Führen Sie – wenn möglich und verfügbar – Software-Updates durch
- Segmentieren Sie das Netzwerk, um die Erreichbarkeit solcher Geräte einzuschränken
- Deaktivieren und blocken Sie Ipv6 Verkehr zu den betroffenen Systemen
- Verwenden Sie interne DNS Server für alle Geräte und überwachen Sie externen DNS-Verkehr
- Überwachen Sie Ihr Netzwerk auf die bekannten präparierten Angriffs-Pakete und alarmieren bzw. blocken Sie diesen Datenverkehr
Weiterführende Informationen und Empfehlungen
Eine komplette deutschsprachige Zusammenfassung über AMNESIA:33 mit weiterführenden Informationen, Updates und CVE-Nummern finden Sie gut aufbereitet auf Heise.de [3]. Die Forscher von Forescout haben ein detailliertes englischsprachiges FAQ zusammengestellt [4]. Wie man bei der Auswahl von IoT Geräten vorgehen soll und welche Punkte zu beachten sind, wird seit längerem von der Mozilla Foundation behandelt und in 5 wichtigen Punkten zusammengefasst [5].