Ripple20: Schwachstellen in Millionen von IoT-Geräten

Israelische Experten berichten, dass Hunderte von Millionen von IoT-Geräten kritische Schwachstellen aufweisen. Und hierbei handelt es sich nur um die konservativste Schätzung

Experten des israelischen Unternehmens JSOF haben 19 Zero-Day-Schwachstellen entdeckt, von denen einige kritisch sind und Hunderte von Millionen von smarten Geräten (engl. Internet of Things, kurz IoT) betreffen. Besorgniserregend ist insbesondere die Tatsache, dass einige Geräte niemals Updates erhalten werden. Alle diese Schwachstellen wurden in dem TCP/IP-Stack von Treck Inc. gefunden, welches seit mehr als zwei Jahrzehnten vom Unternehmen entwickelt wird. Die Gesamtheit der entdeckten Schwachstellen wird als Ripple20 bezeichnet.

Wie auch Sie betroffen sind

Vielleicht haben Sie noch nie von Treck oder seiner TCP/IP-Stack gehört, aber angesichts der Anzahl der betroffenen Geräte und Anbieter umfasst Ihr Firmennetzwerk wahrscheinlich mindestens ein anfälliges Gerät. Dieser ist in allen Arten von smarten Lösungen präsent, was zur Folge hat, dass smarte Geräte von Heim- und Bürodruckern bis hin zu industriellen und medizinischen Geräten gefährdet sind.

Der Stack von Treck ist eine Low-Level-Bibliothek, die es Geräten ermöglicht, mit dem Internet zu interagieren. In den letzten 20 Jahren, seit der Veröffentlichung der ersten Version, wurde sie von zahlreichen Unternehmen genutzt. Meistens ist es nämlich einfacher, eine fertige Bibliothek zu nehmen, als eine eigene zu entwickeln. Einige Hersteller haben sie einfach implementiert, andere haben sie an ihre Bedürfnisse angepasst oder sie in andere Bibliotheken eingebettet.

Darüber hinaus fanden die Forscher bei der Suche nach Unternehmen, die von Ripple20 betroffen sind, mehrere Fälle, in denen der ursprüngliche Käufer der Bibliothek den Namen geändert hatte. In einigen Fällen war die Bibliothek von einem anderen Unternehmen übernommen worden. Letztendlich ist es nicht einfach, die tatsächliche Anzahl der Geräte zu ermitteln, die diese Bibliothek nutzen.  Die Rede ist von „Hunderte von Millionen“ verwundbaren Geräten. Dabei handelt es sich jedoch um eine grobe vorläufige Schätzung. Es könnten sogar Milliarden sein.

Diese ziemlich komplexe Supply Chain ist auch der Grund dafür, dass einige Geräte nie gepatcht werden.

Um welche Schwachstellen handelt es sich und wie gefährlich sind sie?

Der Oberbegriff Ripple20 umfasst insgesamt 19 Schwachstellen unterschiedlichen Schweregrades. Die Forscher haben noch nicht alle technischen Details veröffentlicht, da diese auf einer Black-Hat-Konferenz im Spätsommer vorgestellt werden sollen. Es ist jedoch bekannt, dass mindestens vier der Schwachstellen als kritisch eingestuft werden und einen CVSS-Wert (CVSS, dt. Allgemeines Verwundbarkeitsbewertungssystem) von mehr als 9,0 aufweisen.

Vier weitere Schwachstellen, die in der neuesten Version der Bibliothek nicht vorhanden sind, tauchen in früheren Versionen auf, die noch weiterhin in smarten Geräten verwendet wird. Die Bibliothek wurde nicht aufgrund sicherheitstechnischer Faktoren aktualisiert und viele Hersteller verwenden weiterhin ältere Versionen.

Laut JSOF erlauben einige der Schwachstellen Angreifern, die nebenbei jahrelang unentdeckt lauern können, die vollständige Kontrolle über ein Gerät zu übernehmen. Dadurch können Daten von Druckern gestohlen oder das Verhalten von Geräten geändert werden. Zwei kritische Schwachstellen erlauben die Remote-Ausführung von beliebigen Codes. Eine Liste der Schwachstellen und eine Video-Demo sind auf der Website der Forscher verfügbar.

Was Sie tun können

Für Firmen, die den Treck-TCP/IP-Stack verwenden, empfehlen die Forscher, sich mit den Entwicklern in Verbindung zu setzen und die Bibliothek auf die neueste Version zu aktualisieren. Falls dies nicht möglich ist, deaktivieren Sie alle anfälligen Funktionen auf den Geräten.

Für Unternehmen, die bei ihrer täglichen Arbeit gefährdete Geräte einsetzen, stehen vor einer gewaltigen Aufgabe. Zunächst einmal müssen sie feststellen, ob die von ihnen verwendeten Geräte Schwachstellen aufweisen. Das ist nicht so einfach, wie es klingt, und es könnte die Unterstützung regionaler CERT-Zentren oder Anbieter erfordern. Außerdem wird den Unternehmen dazu geraten:

  • Aktualisieren Sie die Firmware aller Geräte (ohnehin empfohlen, unabhängig von neuen Schwachstellen).
  • Minimieren Sie den Internetzugang von kritischen IoT-Geräten;
  • Trennen Sie das Büronetzwerk von den Netzwerken, in denen solche Geräte verwendet werden (Tipp: Tun Sie das unabhängig davon);
  • Konfigurieren Sie DNS-Proxys in Netzwerken mit IoT-Geräten.

Wir empfehlen die Verwendung einer zuverlässigen Sicherheitslösung, die in der Lage ist, anormale Aktivitäten im Unternehmensnetzwerk zu erkennen. Das ist zum Beispiel einer der vielen Vorteile von Kaspersky Threat Management and Defense

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.