Amnesia:33 – Schwachstelle im TCP/IP-Stack gefährdet viele IoT-Geräte

[English]Sicherheitsforscher haben 33 Schwachstellen in Open Source-Implementierungen des TCP/IP-Stacks gefunden. Diese gefährden die Gerätesicherheit von um die 150 Herstellern. Das gilt für alle Geräte mit Verbindung zum Internet und reicht von Medizingeräten bis hin zu vielen IoT-Systemen. Hier einige Informationen zur Amnesia:33 genannten Schwachstelle.


Anzeige

Was ist Amnesia:33?

AMNESIA:33 ist eine Sammlung von 33 Schwachstellen, die von Sicherheitsforschern von Foresout Research Labs in vier Open-Source-TCP/IP-Stacks (uIP, PicoTCP, FNET und Nut/Net) gefunden wurden. Diese Open-Source-TCP/IP-Stacks werden in Millionen von Geräten auf der ganzen Welt, die am Internet hängen, verwendet. Sprich: Diese Geräte sind aktuell gefährdet.

Amnesia:33 - IoT-Sicherheit
(Quelle: Pexels – freie Verwendung)

Die Sicherheitsforscher haben am 7. Dezember eine Zusammenfassung auf Security Boulevard sowie in diesem Blog-Beitrag (wenig Details, sondern eher Werbung für deren Sicherheitschulungen) veröffentlicht. Der Artikel verlinkt zwar einen technischen Report, der aber wohl noch nicht veröffentlicht oder wieder zurück gezogen wurde. Die Einzelheiten dieser Schwachstellen sollen auf der Black Hat Europe 2020 (7. – 10. Dez. 2020) präsentiert werden. Die Sicherheitsforscher haben eine Zusammenfassung auf Security Boulevard veröffentlicht:

  • AMNESIA:33 betrifft sieben verschiedene Komponenten der Stacks (DNS, IPv6, IPv4, TCP, ICMP, LLMNR und mDNS). Zwei Schwachstellen in AMNESIA:33 betreffen nur drahtlose 6LoWPAN-Geräte.
  • AMNESIA:33 hat vier Kategorien potenzieller Auswirkungen: Remote Code Execution (RCE), Denial of Service (DoS über Absturz oder Endlosschleife), Informationsleck (Infoleak) und DNS-Cache-Poisening. Vier der Schwachstellen ermöglichen eine Remote-Code-Ausführung und sind als kritisch anzusehen.

Die Sicherheitsforscher schreiben, dass diese Schwachstellen bei vernetzten Geräten ausgenutzt werden können, um die volle Kontrolle über ein Zielgerät zu übernehmen (RCE), seine Funktionalität zu beeinträchtigen (DoS), potenziell sensible Informationen zu erhalten (Infoleak) oder bösartige DNS-Einträge zu injizieren, um ein Gerät auf eine vom Angreifer kontrollierte Domäne zu verweisen (DNS-Cache-Poisoning).

Die AMNESIA:33-Schwachstellen wurden von den Forescout Research Labs im Rahmen des Projekts Memoria entdeckt. Das ist eine Initiative, die darauf abzielt, der Cybersicherheits-Community die größte Studie über die Sicherheit von TCP/IP-Stacks zur Verfügung zu stellen.

Geräte von mindestens 150 Herstellern potentiell betroffen

Die Sicherheitsforscher schreiben: Je nachdem, wie ein TCP/IP-Stack verwendet wird, können die verschiedenen Geräte jedoch unterschiedlich von den Schwachstellen betroffen sein. Die Experten schätzen, dass mehr als 150 Anbieter und Millionen von Geräten wahrscheinlich für AMNESIA:33 anfällig sind. Die Sicherheitsforscher von Foresout Research Labs haben ihre Erkenntnisse den koordinierenden Stellen (wie dem ICS-CERT und dem CERT/CC) mitgeteilt, die sich mit den identifizierten Anbietern in Verbindung gesetzt haben. Einige Anbieter haben die Schwachstellen bereits bestätigt und ihre Patches herausgegeben, aber einige sind noch in der Untersuchungsphase.

Die weitverbreitete Natur dieser Schwachstellen bedeutet, dass viele Organisationen auf der ganzen Welt von AMNESIA:33 betroffen sein könnten. Organisationen, denen es nicht gelingt, dieses Risiko einzudämmen, lassen Angreifern offene Türen für IT-, OT- und IoT-Geräte in ihrer gesamten Organisation offen. Im Artikel hier gehen die Sicherheitsforscher detaillierter auf die Risiken ein und machen Vorschläge, wie Nutzer die Schwachstellen in den Geräten entschärfen können. Für Privatnutzer bleibt nur Sicherheitsupdates, sofern verfügbar, einzuspielen. Firmen und Organisationen haben einige zusätzliche Möglichkeiten wie Netzwerk-Segmentierung, IPv6-Verkehr blockieren, interne DNS-Server verwenden, TCP/IP-Pakete überwachen und filtern, um das Risiko zu reduzieren.

Die BSI-Position zu Amnesia:33

Die Kollegen von heise haben in einem Artikel (siehe auch nachfolgenden Tweet) eine Warnung des BSI aufgegriffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte Firmen kontaktiert und auf Amnesia:33 bzw. die Schwachstellen in den in den Geräten verwendeten TCP/IP-Stacks hingewiesen.


Anzeige

BSI zu Amnesia:33

Das BSI war im Rahmen der koordinierten Offenlegung (Coordinated Vulnerability Disclosure (CVD)-Prozess) vorab in den Vorgang einbezogen. In diesem Rahmen hat das BSI Hersteller von Komponenten angeschrieben. Nicht alle kontaktierten Firmen reagierten auf diese Information. Details zu diesem Thema lassen sich bei heise oder beim BR nachlesen.

Ergänzung: Die Forscher haben auf der Blackhat-Konferenz noch einige Details offen gelegt. Wired hat diesen Artikel dazu publiziert.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Geräte, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Amnesia:33 – Schwachstelle im TCP/IP-Stack gefährdet viele IoT-Geräte

  1. DWE sagt:

    Zur Info, falls relevant, ich erhielt eben für ein paar Minuten im Blog einen Script-Fehler.

    • Günter Born sagt:

      Ist nicht relevant – ich werkele hier im Maschinenraum und habe versucht, die .htaccess auszutauschen und zu bearbeiten. Jedes Mal schieße ich den Blog aus dem Netz (der Windows Editor hat da wohl Probleme und lädt eine kaputte Datei hoch) – und bin jetzt wieder auf den Backups von Ende Nov. 2020. Jetzt läuft wenigstens das Publishing in allen Blogs per Windows Live Writer wieder.

      • Spürfuchs sagt:

        >der Windows Editor hat da wohl Probleme und lädt eine kaputte Datei hoch

        Günni probiere doch nochmal Notepad++ und stelle unten entweder Unix oder Windows ein. Lasse dir die linefeeds und carriage returns anzeigen. Linux mag nur linefeeds.

        Ja ja ich weiß, das wird dir bekannt sein und kann der Windows Editor auch mittlerweile. Aber irgendwelche Zeichen scheinen ja vermurkst zu werden. Notepad++ lässt z.B. das Encoding in Frieden.

        https://i.imgur.com/bUuIKod.png

        Kommst du mit WinSCP über SSH rein?

        • Günter Born sagt:

          Habe ich letztendlich genutzt. Doof ist halt: Im FileZilla ist der Notepad integriert – und ich wollte es mir einfach machen. Letztendlich musste ich über Notepad++ gehen, dann hat es auch geklappt – eine Mütze Schlaf, ein funktionierendes Backup einer .htaccess und etwas Ruhe haben es gerichtet.

          Und am Ende des Tages habe ich das Gefühl, dass ein Update des Really Simple SSL Plugins mir diesen Ärger eingebrockt hat. Schon das zweite Plugin, welches mir durch Updates die Infrastruktur zerschießt – ich glaube, ich werde langsam zu alt für den Schei**.

          Danke an die Blog-Leserschaft für die vielen Hinweise – kannte viele der Artikel, aber am Ende des Tages scheitert es an Trivialitäten (falscher Editor, der die .htaccess kaputt macht, eine .htaccess-Anweisung, die den Blog auf https zwingt, aber WLW blockt, kürzlich war mein FileZilla kaputt und hat bestimmte Uploads verweigert, ein Plugin zwingt den Server in die Knie usw.). Wenn man das im Rückblick anschaut, ist da immer der ‚hättest Du schnell richten können‘-Effekt, wenn man das gewusst hätte und täglich mit dem Zeugs umgeht).

          • Toby sagt:

            Hi, ich nutze ebenfalls Filezilla und Notepad++. Auch wenn die Wahrscheinlichkeit sehr hoch ist, dass das bereits bekannt ist, aber unter „Einstellungen > Bearbeiten von Dateien“ kann ich folgendes empfehlen:
            – benutzerdefinierten Editor verwenden („C:\Program Files\Notepad++\notepad++.exe“ bzw. den Pfad zur x86er Version, sofern verwendet)
            – Verwende Dateitypzuordnungen falls verfügbar
            – Haken bei „Lokal bearbeitete Dateien beobachten“

            Das macht das Arbeiten in Filezilla bzw. das Bearbeiten von Textdateien unfassbar einfacher, auch weil Notepad++ die Syntax sehr gut interpretiert, wenn es eine Dateiendung erkennt.

            Ich denke zwar, das war schon bekannt, aber falls nicht: ich hoffe es hilft :-)

          • Michael sagt:

            nutze auch Filezilla und Notepad++ im Verbund ;) in den Settings > File editing kann man einen eigenen Editor oder aber den Editor vom System (txt Dateiendung) hinterlegen, das erspart einiges an Arbeit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.