Name:Wreck – TCP/IP-Schwachstelle bedroht Millionen Geräte

Israelische Sicherheitsforscher haben letzte Woche eine Schwachstelle in der Domain Name System (DNS) Implementierung diverser TCP/IP-Stack-Produkte offen gelegt. Die Schwachstelle, die eine Remote Code Execution (RCE) oder einen Denial of Service (DoS) Angriff ermöglicht, betrifft Millionen Geräte (Drucker, Kontrollsysteme in der Industrie etc.).


Anzeige

Ein Satz von neun Sicherheitslücken erhielt den Namen Name:Wreck, die Details wurden JSOF sowie Forescout in diesem Dokument und in diesem Forescout Blog-Beitrag offen gelegt. Der Satz von neun Schwachstellen steht im Zusammenhang mit Domain Name System (DNS)-Implementierungen und ermöglicht entweder Denial of Service (DoS) oder Remote Code Execution (RCE) Angriffe. Über diese NAME:WRECK-Schwachstellen könnten Angreifer möglicherweise Zielgeräte offline zu nehmen oder die Kontrolle über sie zu übernehmen. Die Sicherheitsforscher geben die TCP/IP-Stacks folgender Produkte als betroffen an:

  • FreeBSD (Version 12.1): Wird häufig in Computern, Druckern und Netzwerkgeräten verwendet, die sich in der Device Cloud befinden.
  • IPNet (VxWorks 6.6): Integrationslösung, die von IPNet Solutions angeboten wird und auf den Unternehmens- und Telekommunikationsmarkt ausgerichtet ist.
  • NetX (Version 6.0.1): Gängige Produktkategorien, wo diese Bibliothek verwendet wird, sind Mobiltelefone, Unterhaltungselektronik und Geschäftsautomatisierung, in Geräten wie Druckern, intelligenten Uhren, Systems-on-a-Chip und Energie- und Leistungsgeräten in industriellen Steuerungssystemen (ICS).
  • Nucleus NET (Version 4.3): Teil des Nucleus RTOS von Mentor Graphics und in über 3 Milliarden Geräten im Einsatz. Wird häufig in der Gebäudeautomatisierung, Betriebstechnik und VoIP sowie in Ultraschallgeräten, Speichersystemen und kritischen Systemen für die Avionik eingesetzt.

Die Sicherheitsforscher schreiben, dass die Kombination aus der weit verbreiteten Nutzung dieser Stacks und der Exposition der verwundbaren DNS-Clients (erreichbar aus dem Internet) zu einer dramatisch erhöhten Angriffsfläche führt. Selbst mit der konservativsten Schätzungen kommen die Sicherheitsforscher zu Schluss, dass Millionen von Geräten von NAME:WRECK betroffen sind. Die Details des NAME:WRECK-Schwachstellen-Sets sind im technischen Bericht von Forescout beschrieben und werden auf der Black Hat Asia 2021 vorgestellt.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)

Es besteht die Gefahr, dass Industriesysteme oder medizinische Geräte angegriffen und Informationen abgegriffen werden. Oder es kommt zur Sabotage der Einheiten bzw. diese werden mit DoS-Angriffen still gelegt oder übernommen, um in zu steuernde Prozesse einzugreifen. Als Anwender kann man wenig machen (außer diese vor dem Zugriff aus dem Internet abzuschirmen) und darf nur darauf hoffen, dass es für die betroffenen Geräte ein Firmware-Update zum Stopfen der Schwachstellen geben wird. heise hat einen Artikel mit den betreffenden CVEs publiziert und bei Bleeping Computer finden sich ebenfalls noch noch einige Informationen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit Geräte, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Name:Wreck – TCP/IP-Schwachstelle bedroht Millionen Geräte

  1. 1ST1 sagt:

    Wenns jetzt mal irgendwo eine Übersicht der betroffenen Geräte oder wenigstens eine Herstellerliste gäbe. das wäre ja schonmal hilfreich. So bleibt die ganze Sache doch etwas ominös.

    • Günter Born sagt:

      Mir ist keine Liste bekannt – man kann nur schauen, ob eines der betroffenen Betriebssysteme (FreeBSD Version 12.1, bei Siemens-Geräten Nucleus NET Version 4.3) etc. verwerwendet wird. Wenn ich Kernspin-Tomographen oder ähnliches verwalten würde, täte ich da mal nachsehen. Ähnliches gilt für Geräte, wenn ich weiß, die verwenden FreeBSD.

  2. alles belegt sagt:

    Mal sehen ob wirklich nur diese Version von FreeBSD betroffen ist und ob das nicht noch größere Kreise zieht. Denn z.B. macOS, Cisco Ironport und das Betriebssystem der Playstation basierend ja auch auf FreeBSD bzw. sind damit verbandelt.

  3. Art sagt:

    Forescout liefert via Github Skripte, um die verwendeten TCP Stacks zu identifizieren: https://github.com/Forescout/project-memoria-detector

    Auch wenn für viele TCP Stacks Fixes verfügbar sind, bedeutet dies nicht, dass diese auch für IoT Devices zur Verfügung stehen werden (IoT = Internet of Threads)…

    Bitte unbedingt beachten!
    Although the script has been tested in a lab environment, we cannot guarantee its use to be safe against every possible device. Malformed ICMP packets, for instance, could crash a device that is running a different stack. THEREFORE, WE DO NOT RECOMMEND ITS USE DIRECTLY ON LIVE ENVIRONMENTS WITH MISSION-CRITICAL DEVICES (SUCH AS HOSPITALS WITH PATIENT-CONNECTED DEVICES OR SAFETY-CRITICAL INDUSTRIAL CONTROL SYSTEMS). An ideal approach is to test devices in a lab setting or during a maintenance window.

  4. StefanP sagt:

    Für Nutzer von OPNsense, welches ja FreeBSD 12.1 als Basis nutzt:

    Aussage der Entwickler auf meine Nachfrage:
    Patch was applied to OPNsense 20.7.3 on September 24, 2020

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.