Die jüngste Schwachstelle in einem Schlüsselteil des Netzwerk-Stacks bedroht ein wichtiges Open-Source-Betriebssystem, Drucker und medizinische IoT-Geräte. [...]
Eine Reihe von Schwachstellen in TCP/IP-Stacks, die von FreeBSD und drei populären Echtzeit-Betriebssystemen für das Internet der Dinge (IoT) verwendet werden, wurden diese Woche vom Sicherheitsanbieter Forescout und JSOF Research aufgedeckt. Die neun Schwachstellen könnten potenziell 100 Millionen Geräte in freier Wildbahn betreffen.
Nucleus NET, IPNet und NetX sind die anderen Betriebssysteme, die von den Schwachstellen betroffen sind, die in einem gemeinsamen Bericht von Forescout und JSOF mit dem Namen:Wreck betitelt wurden.
In einem Bericht über die Schwachstellen schreibt Forescout, dass TCP/IP-Stacks aus mehreren Gründen besonders anfällig sind, darunter die weite Verbreitung, die Tatsache, dass viele solcher Stacks vor langer Zeit erstellt wurden, und die Tatsache, dass sie dank nicht authentifizierter Funktionalität und Protokollen, die Netzwerkgrenzen überschreiten, eine attraktive Angriffsfläche bieten.
Das Domain Name System leidet unter ähnlichen Problemen, die im Fall der Name:Wreck-Schwachstellen ausnutzbar sind.
„DNS ist ein komplexes Protokoll, das dazu neigt, anfällige Implementierungen hervorzubringen, und diese Schwachstellen können oft von externen Angreifern ausgenutzt werden, um die Kontrolle über Millionen von Geräten gleichzeitig zu übernehmen“, so der Bericht.
Name:Wreck kann sowohl Denial-of-Service-Angriffe als auch Remote-Code-Ausführung ermöglichen und wird wahrscheinlich durch schlechte Codierungspraktiken beim Parsen von DNS-Antwortinhalten verursacht, so Eric Hanselman, Principal Research Analyst bei 451 Research. Im Wesentlichen wird ein Schlüsselwert im System, der verwendet wird, um DNS-Antworten in kleinere und leichter zu transportierende Pakete zu komprimieren, nicht vom System validiert und kann von einem bösen Akteur manipuliert werden.
„Die Schwierigkeit bei DNS-Angriffen besteht darin, dass DNS-Antworten eine erhebliche Menge an Informationen enthalten können“, so Hanselman. „Es gibt so viele Formatoptionen, dass es nicht ungewöhnlich ist, dass in einer DNS-Antwort eine beträchtliche Menge an Daten zurückgegeben wird, und wenn Sie DNS-Anfragen nicht nachverfolgen und OpenDNS in Ihrer Umgebung zulassen, ist es sehr schwierig, die Antwort nachzuverfolgen, um sicherzustellen, dass Sie eine zustandsbezogene Nachverfolgung haben.“
Die tatsächliche Gefahr, der ein Unternehmen ausgesetzt ist, hängt davon ab, welchen der verwundbaren Stacks es verwendet. Die FreeBSD-Schwachstelle ist wahrscheinlich weiter verbreitet – sie betrifft Millionen von IT-Netzwerken, darunter Netflix und Yahoo, sowie traditionelle Netzwerkgeräte wie Firewalls und Router, so der Bericht, ist aber wahrscheinlich einfacher zu beheben.
„Das sind überschaubare Systeme – wir sollten in der Lage sein, sie zu aktualisieren“, sagte Forrester Senior Analyst Brian Kime. „[Und] sie sollten bei der Behebung priorisiert werden, weil sie Teil des Netzwerk-Stacks sind.“
Das Gleiche kann man in vielen Fällen nicht von den von Name:Wreck betroffenen Echtzeit-Betriebssystemen sagen, da hier die Standardprobleme bei der Absicherung von IoT-Geräten bestehen bleiben. Die Möglichkeit, die Firmware zu patchen und zu aktualisieren, ist immer noch kein Standard, und die OEMs der angeschlossenen Geräte – die unter Umständen schon recht alt sind und von vornherein nicht für den Einsatz im Internet konzipiert wurden – sind möglicherweise nicht einmal mehr in Betrieb.
In Fällen, in denen diese IoT-Geräte anfällig sind, muss laut Hanselman eine starke Sicherheit auf der Netzwerkebene beginnen. Die direkte Überwachung des Netzwerks auf anomale Aktivitäten – die wiederum im Falle einer TCP/IP-Schwachstelle manchmal schwer zu erkennen sind – ist ein guter Anfang, aber was wirklich benötigt wird, sind Techniken wie der Schutz von DNS-Anfragen.
„Zum Glück für die meisten Unternehmen ist die DNS-Überwachung viel weiter verbreitet, denn DNS ist eine der besten Möglichkeiten, um Ransomware zu erkennen“, sagte er. „Die meisten Unternehmen sollten einen vernünftigen DNS-Abfrageschutz installiert haben.“
Der aktive Umfang dieser Schwachstellen wird durch mehrere Faktoren begrenzt, darunter die Frage, ob die betroffenen Geräte einen direkten Zugang zum Internet haben – was im Fall vieler der beschriebenen medizinischen Geräte unwahrscheinlich ist – und wie patchbar sie sind. Darüber hinaus ist es erwähnenswert, dass bisher keine der Schwachstellen in freier Wildbahn ausgenutzt worden ist. Ein wichtiges Ziel, das man im Auge behalten sollte, könnten jedoch Drucker sein.
Laut Kime sind Drucker sehr leicht zugänglich, da sie mehr oder weniger allgegenwärtig sind und in der Regel nicht viel Aufmerksamkeit auf die Sicherheit lenken, und wenn sie einmal kompromittiert sind, könnten sie einen Vektor bieten, über den auf andere verwundbare Geräte in einem Netzwerk zugegriffen werden kann.
„Selten werden sie auf Schwachstellen untersucht, so dass sie von Bedrohungsakteuren ausgenutzt werden“, sagte er. „Ich könnte mir vorstellen, dass böse Akteure IoT-Schwachstellen als Persistenz nutzen, sobald sie etwas anderes ausgenutzt haben, um in die Umgebung zu gelangen.“
Name:Wreck ist natürlich bei weitem nicht die einzige Reihe von TCP/IP-Schwachstellen, die in letzter Zeit ihr hässliches Haupt erheben. Forescout und JSOF haben in der Vergangenheit bereits mehrere Familien dieser Art von Sicherheitslücken entdeckt, darunter Ripple20, Amnesia:33 und Number:Jack allein im vergangenen Kalenderjahr, und Experten sind sich einig, dass in absehbarer Zeit weitere Schwachstellen ans Licht kommen werden. Zum einen gibt es einfach nicht so viele IP-Stacks, was bedeutet, dass viele in einer Vielzahl von Anwendungen eingesetzt werden und allgemein als sicher gelten.
„Es ist etwas, bei dem jeder davon ausgeht, dass er den IP-Stack aus seiner bevorzugten [Open-Source-Software]-Distribution ziehen kann, und dass diese gut gehärtet sein sollten“, so Hanselman. „Im Großen und Ganzen stimmt das auch, aber Netzwerkstacks haben mit einer ziemlich komplexen Zustandsverwaltung zu tun, und es kann unerwartete Möglichkeiten geben, diese zu manipulieren.“
*Jon Gold berichtet für Network World über IoT und drahtlose Netzwerke.
Be the first to comment