AMNESIA:33 – Kritische Sicherheitslücken in IoT Geräten betreffen wieder Millionen Systeme

22. Dezember, 2020

smart-homeBereits Mitte 2020 gab es eine Vielzahl an Veröffentlichungen zu kritischen Sicherheitslücken in IoT-Systemen: Ripple20. Damals lagen die Schätzungen bei über 100 Millionen betroffenen Geräten. Im Rahmen einer weitergehenden Erforschung der IT-Sicherheit von verbundenen Geräten, haben die Experten des Sicherheitsunternehmens Fourescout Research Labs nun weitere schwere Fehler entdecken können. Wie in der kürzlich erschienenen Veröffentlichung AMNESIA:33 nachzulesen ist, sind wieder über 150 Hersteller von verschiedenen IoT, OT & IT Geräten betroffen. Die vorsichtige Schätzung von Forescout geht von ca. 15 Millionen betroffenen Geräten aus, die sich in den unterschiedlichsten unternehmerischen und auch privaten Bereichen befinden [1].

Schwachstellen ausgehend von weitverbreitendem Open-Source TCP/IP Stack

Die gefundenen Fehler gehen auf das Konto von vier verschiedenen, weit verbreiteten Netzwerkstack-Implementationen: uIP, PicoTCP, FNET, und Nut/Net. Alle vier Varianten sind Open-Source Code, der über die Zeit von vielen Beteiligten immer wieder verändert und angepasst wurde. Eine nicht genau bekannte Anzahl von Implementationen, auch teils zugekaufte Module und Systeme von Drittherstellern, verwenden solche Komponenten und Code. Kritisch ist hierbei, dass sich oft Hersteller oder Endanwender gar nicht darüber bewusst sind. Betroffen sind nahezu alle denkbaren Gerätegruppen, wie z.B. Kameras, Sensoren, Drucker, Klimaanlagen, Router & Switches, steuerbare Steckdosen und Lichter, aber auch Unterhaltungsgeräte wie Spielekonsolen.

Angriff mit speziell manipulierten IP-Paketen möglich

Besonders kritisch sind die Schwachstellen, weil sich der TCP/IP Stack im System um alle Daten vom bzw. zum Netzwerk kümmert und daher direkt mit speziell präparierten Paketen angegriffen werden kann. Die möglichen Szenarien bei Ausnutzung der Schwachstellen decken alle Worst-Case Bereiche ab: Von Denial of Service bis zum Abgreifen und Umleiten vertraulicher Informationen sowie Remote-Execution, dem Ausführen von fremden Programmen auf dem System. Durch die meist unauffällige Platzierung solcher Systeme in verschiedenen Bereichen können Angreifer auf diesem Wege die Kontrolle übernehmen und das Gerät z.B. als Einfallstor in das gesamte Netzwerk missbrauchen. Alle weiteren Details, auch z.B. wie die Sicherheitslücken über sogenanntes „Fuzzing“ entdeckt wurden, finden Sie bei Interesse im ausführlichen Report von Forescout Research Lab [2].

6 Tipps zum Umgang mit den Sicherheitslücken

Die Sicherheitsforscher geben auch konkrete Empfehlungen ab, wie mit den entdeckten Sicherheitslücken umgegangen werden soll:

  1. Assessment: Identifizieren Sie mögliche Geräte und Systeme die betroffen sein könnten
  2. Updates: Führen Sie – wenn möglich und verfügbar – Software-Updates durch
  3. Segmentieren Sie das Netzwerk, um die Erreichbarkeit solcher Geräte einzuschränken
  4. Deaktivieren und blocken Sie Ipv6 Verkehr zu den betroffenen Systemen
  5. Verwenden Sie interne DNS Server für alle Geräte und überwachen Sie externen DNS-Verkehr
  6. Überwachen Sie Ihr Netzwerk auf die bekannten präparierten Angriffs-Pakete und alarmieren bzw. blocken Sie diesen Datenverkehr

Weiterführende Informationen und Empfehlungen

Eine komplette deutschsprachige Zusammenfassung über AMNESIA:33 mit weiterführenden Informationen, Updates und CVE-Nummern finden Sie gut aufbereitet auf Heise.de [3]. Die Forscher von Forescout haben ein detailliertes englischsprachiges FAQ zusammengestellt [4]. Wie man bei der Auswahl von IoT Geräten vorgehen soll und welche Punkte zu beachten sind, wird seit längerem von der Mozilla Foundation behandelt und in 5 wichtigen Punkten zusammengefasst [5].

Bedrohung
Frühzeitige Erkennung von Cybergefahren
Gefahren durch vertrauenswürdige Services
Threat Intelligence
SQL Injection
SMTP Smuggling
Cyber-Risiken in der Ferienzeit
passkey
Dynamische Cybersicherheit
NIS2
Harmony Mobile by Check Point
EU Machinery Regulation
Sergejs Harlamovs, Malware-Analyst bei IKARUSprivat

Plug-in IdaClu beschleunigt die Malware-Analyse

IdaClu: IKARUS Malware-Analyst Sergejs Harlamovs gewinnt Hex-Rays Plug-in-Contest
NIS2
Infostealer
Cybercrime

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 (0) 1 58995-0
Sales Hotline: +43 (0) 1 58995-500

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 (0) 1 58995-400

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr

Fernwartung:
AnyDesk Download