19 kritische Fehler in einer weit verbreiteten TCP/IP Implementierung mit möglicherweise fatalen Folgen: Mit modifizierten IP-Paketen können auf IoT-Geräten beliebige Befehle ausgeführt und kritische Daten ausgelesen werden.[1] Das zuständige ICS-CERT bewertet einige dieser Sicherheitslücken zurecht mit der maximalen Schwere von 10 in der CVSSv3-Skala.[2]

„Ripple20“: Millionen Geräte verwundbar

Smart Homes und Smart Citys, Steckdosen, Router, aber auch medizinische Geräte, Sensoren und kritische Steuerungs- oder Transportsysteme wie Flugzeuge oder Satelliten sind mit einem TCP/IP Stack und einer Internetverbindung ausgestattet. Verarbeitet werden dabei kleine Standardbausteine. Der anfällige TCP/IP Stack der Firma Treck ist für Embedded Geräte optimiert und wird von bekannten Unternehmen wie Baxter, Intel, Schneider Electric, HP und Rockwell Automation verwendet. Viele der nun entdeckten Sicherheitslücken, zusammenfassend „Ripple20“ genannt, entstehen dadurch, dass Längenbeschränkungen einzelner Felder nicht beachtet werden. Angreifer können so Code einschleusen und ausführen, aber auch kritische Daten auslesen. Weltweit sind Millionen von Geräten betroffen.

Der Hersteller hat die Mängel, die von Sicherheitsforschern von JSOF entdeckt wurden, in einem Update auf Version 6.0.1.67 behoben. Unklar ist jedoch, wie das Update auf die verwundbaren Geräte kommen soll – viele sind schlicht nicht auf Updates ausgelegt. Auch die Frage, woran NutzerInnen erkennen können, ob ihr System anfällig ist oder welche Softwareversion darauf verwendet wird, bleibt offen.

„Erste Hilfe“: Maßnahmen auf Netzwerkebene

„Ripple20 ist womöglich eine der fatalsten Sicherheitslücken, die es jemals gab“, so Benjamin Paar, Senior System Engineer für der Bereich OT/IoT Security bei IKARUS: „Fehler dieser Art können vermieden werden, wenn sicherheitskritische Überlegungen von Beginn an Teil jedes Entwicklungsprozesses sind – ganz egal wie unwahrscheinlich es im ersten Augenblick scheint, dass hier jemals ein Angriff stattfinden kann. Es ist höchste Zeit für ein Umdenken, weg von schnell und kostengünstig hin zu nachhaltig und sicher. Jedes System, das mit dem Internet verbunden werden kann, sollte eine abgesicherte und verlässliche Updatemöglichkeit haben. Andernfalls würde ich es nicht als sicher betrachten.“

Als Absicherung vor „Ripple20“ werden Maßnahmen auf Netzwerkebene empfohlen, um verdächtige IP-Pakete und Source Routing zu blockieren.[3] „Gerade im Bereich industrieller Anlagen ist Visibilität daher der erste Schritt, um potenzielle Gefahrenquellen erkennen und gegensteuern zu können“, so Christian Fritz, COO bei IKARUS: „Mit dem Überblick über alle Geräte und Systeme können anhand qualifizierter Alerts gezielte Maßnahmen gesetzt werden.“ IKARUS-Technologie-Partner Nozomi Networks rechnet damit, dass es in diesem Zusammenhang noch weitere Schwachstellen geben wird – noch sind nicht alle betroffenen Unternehmen und Produkte bekannt. „Anhand der bisher veröffentlichten Informationen lässt sich sagen, dass es fortgeschrittene Fähigkeiten erfordert, um die entdeckten Schwachstellen auszunutzen“, so Benjamin Paar: „Bisher haben wir keine Hinweise darauf, dass es bereits Angriffe gibt oder gegeben hat.“ Es ist also ein Spiel auf Zeit – und jetzt ist der perfekte Zeitpunkt, sich über optimale Schutzmaßnahmen zu informieren.

Weiterlesen: IKARUS managed.defense: Transparenz und Sicherheit in IT-, OT- und IoT-Umgebungen

[1] https://www.jsof-tech.com/ripple20/

[2] https://www.us-cert.gov/ics/advisories/icsa-20-168-01

[3] https://github.com/CERTCC/PoC-Exploits/blob/master/vu-257161/recommendations.md