AMNESIA:33 – Kritische Sicherheitslücken in IoT Geräten betreffen wieder Millionen Systeme

22. Dezember, 2020

smart-homeBereits Mitte 2020 gab es eine Vielzahl an Veröffentlichungen zu kritischen Sicherheitslücken in IoT-Systemen: Ripple20. Damals lagen die Schätzungen bei über 100 Millionen betroffenen Geräten. Im Rahmen einer weitergehenden Erforschung der IT-Sicherheit von verbundenen Geräten, haben die Experten des Sicherheitsunternehmens Fourescout Research Labs nun weitere schwere Fehler entdecken können. Wie in der kürzlich erschienenen Veröffentlichung AMNESIA:33 nachzulesen ist, sind wieder über 150 Hersteller von verschiedenen IoT, OT & IT Geräten betroffen. Die vorsichtige Schätzung von Forescout geht von ca. 15 Millionen betroffenen Geräten aus, die sich in den unterschiedlichsten unternehmerischen und auch privaten Bereichen befinden [1].

Schwachstellen ausgehend von weitverbreitendem Open-Source TCP/IP Stack

Die gefundenen Fehler gehen auf das Konto von vier verschiedenen, weit verbreiteten Netzwerkstack-Implementationen: uIP, PicoTCP, FNET, und Nut/Net. Alle vier Varianten sind Open-Source Code, der über die Zeit von vielen Beteiligten immer wieder verändert und angepasst wurde. Eine nicht genau bekannte Anzahl von Implementationen, auch teils zugekaufte Module und Systeme von Drittherstellern, verwenden solche Komponenten und Code. Kritisch ist hierbei, dass sich oft Hersteller oder Endanwender gar nicht darüber bewusst sind. Betroffen sind nahezu alle denkbaren Gerätegruppen, wie z.B. Kameras, Sensoren, Drucker, Klimaanlagen, Router & Switches, steuerbare Steckdosen und Lichter, aber auch Unterhaltungsgeräte wie Spielekonsolen.

Angriff mit speziell manipulierten IP-Paketen möglich

Besonders kritisch sind die Schwachstellen, weil sich der TCP/IP Stack im System um alle Daten vom bzw. zum Netzwerk kümmert und daher direkt mit speziell präparierten Paketen angegriffen werden kann. Die möglichen Szenarien bei Ausnutzung der Schwachstellen decken alle Worst-Case Bereiche ab: Von Denial of Service bis zum Abgreifen und Umleiten vertraulicher Informationen sowie Remote-Execution, dem Ausführen von fremden Programmen auf dem System. Durch die meist unauffällige Platzierung solcher Systeme in verschiedenen Bereichen können Angreifer auf diesem Wege die Kontrolle übernehmen und das Gerät z.B. als Einfallstor in das gesamte Netzwerk missbrauchen. Alle weiteren Details, auch z.B. wie die Sicherheitslücken über sogenanntes „Fuzzing“ entdeckt wurden, finden Sie bei Interesse im ausführlichen Report von Forescout Research Lab [2].

6 Tipps zum Umgang mit den Sicherheitslücken

Die Sicherheitsforscher geben auch konkrete Empfehlungen ab, wie mit den entdeckten Sicherheitslücken umgegangen werden soll:

  1. Assessment: Identifizieren Sie mögliche Geräte und Systeme die betroffen sein könnten
  2. Updates: Führen Sie – wenn möglich und verfügbar – Software-Updates durch
  3. Segmentieren Sie das Netzwerk, um die Erreichbarkeit solcher Geräte einzuschränken
  4. Deaktivieren und blocken Sie Ipv6 Verkehr zu den betroffenen Systemen
  5. Verwenden Sie interne DNS Server für alle Geräte und überwachen Sie externen DNS-Verkehr
  6. Überwachen Sie Ihr Netzwerk auf die bekannten präparierten Angriffs-Pakete und alarmieren bzw. blocken Sie diesen Datenverkehr

Weiterführende Informationen und Empfehlungen

Eine komplette deutschsprachige Zusammenfassung über AMNESIA:33 mit weiterführenden Informationen, Updates und CVE-Nummern finden Sie gut aufbereitet auf Heise.de [3]. Die Forscher von Forescout haben ein detailliertes englischsprachiges FAQ zusammengestellt [4]. Wie man bei der Auswahl von IoT Geräten vorgehen soll und welche Punkte zu beachten sind, wird seit längerem von der Mozilla Foundation behandelt und in 5 wichtigen Punkten zusammengefasst [5].

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren
Gefahren durch vertrauenswürdige Services
Threat Intelligence
SQL Injection

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download