Eine israelische Sicherheitsfirma hat ein ganzes Bündel an sehr gefährlichen Zero-Day Schwachstellen gefunden. Sie stecken in einer Netzwerk-Software Library des Herstellers Treck Inc. Diese wird schon seit 20 Jahren weltweit in IoT-Geräten verbaut.

Die Sicherheitsforscher der Firma JSOF in Israel fand die 19 Schwachstellen im proprietären TCP/IP-Stack des Herstellers Treck. Treck ist ein US-amerikanisches Unternehmen, das bereits seit 1997 Low-level-Netzwerkprotokolle herstellt und vertreibt. Die Forscher gehen davon aus, dass der TCP/IP-Stack in mehreren Hundert Millionen alten und neuen internetfähigen Geräten steckt.

Ripple20 steckt zum Beispiel in Produkten von Unternehmen wie Hewlett Packard Enterprise, HP, Sandia National Labs, Intel, Baxter US, Digi International. Auch Caterpillar, Rockwell Automation, Schneider Electric und B.Brown sind davon betroffen, um nur einige zu nennen. Für die Forscher ist es äußerst schwierig alle betroffenen Geräte genau zu bestimmen. Dies liegt daran, dass einige Treck-Kunden die Software weiter vertreiben. Zudem sind die Ripple20 Schwachstellen teilweise sehr kritisch und können betroffene Geräte in einem Netzwerk per Fernsteuerung kompromittieren. Die Forscher gehen davon aus, dass Ripple20 die IT-Welt noch lange im Griff haben wird. In ihrem Bericht erklären die Forscher, warum das so sein wird:

„Das Interessante an Ripple20 ist das unglaubliche Ausmaß seiner Auswirkungen, die durch den Lieferketten-Faktor noch verstärkt werden. Die weite Verbreitung der Software-Library (samt ihrer internen Schwachstellen) war eine logische Folge des „Ripple-Effekts“ der Lieferkette. Eine einzige anfällige Komponente, auch wenn sie an sich relativ klein sein mag, kann sich nach außen hin ausbreiten und Auswirkungen auf eine Vielzahl von Branchen, Anwendungen, Unternehmen und Personen haben.“

Das flächendeckende Patchen von so vielen Geräten in einer Vielzahl von teilweise kritischen Branchen, ist praktisch unmöglich, heißt es expertenseitig. Die Software steckt beispielsweise in medizinischen Geräten, Druckern und industriellen Steuerungssystemen usw. Dennoch gibt man bei JSOF nicht auf. Die Forscher haben Skripte entwickelt zur Identifizierung von Geräten in Netzwerken, auf denen Trecks Software-Bibliothek läuft. Die Ergebnisse sind auf Anfrage von JSOF erhältlich.

Laut SANS IT-Experte John Pescatore haben die Unternehmen Cisco, Intel und HP/Samsung Produktwarnungen an ihre Kunden herausgegeben. Obwohl es bei IoT-Geräten ein riesiges Problem sei, sei es nicht nur für diese ein obskures Risiko. Es gibt 19 Schwachstellen und der Schlüssel zu deren Entdeckung sei das Skript von Treck, so Pescatore weiter. Er wies auch darauf hin, dass andere Anbieter Skripte und Signaturen veröffentlicht hätten.

Treck selbst hat seine Kunden inzwischen über die Gefahr informiert und ihren ein Patch zur Verfügung gestellt. Es kann davon ausgegangen werden, dass viele andere Betroffene gar keine Ahnung haben, dass diese Schwachstelle in irgendeiner ihrer Software-Library steckt. Und wie sie sich letztendlich auswirkt, hängt auch davon ab, wie die Software verwendet wird. Die Treck Software-Library kann für eine verschiedene Anwendungen konfiguriert oder werden in eine größere Library eingebaut, erklären die Forscher in einem Bericht. Man kann sie als Quellcodeformat kaufen und bearbeiten. Anschließend kann sie in eine ganze Reihe von Gerätetypen eingebaut werden. Außerdem kann der ursprüngliche Käufer sein Produkt völlig umbenennen – damit ist eine Nachverfolgung noch schwieriger. Demnach, hilft ein Patch nur dann, wenn der Anwender genau weiß, dass er die Library in seinem Netzwerk verwendet.

Details zu Ripple20

In ihrem technischen Papier haben die Forscher alles detailliert beschrieben. Insbesondere die Ausnutzung der kritischen Fehler zur remote Codeausführung CVE-2020-11896 sowie das Informationsleck CVE-2020-11898. Es steckt in dem Digi Connect ME 9210-Gerät – eine in verschiedenen Produkten eingebettet Ethernet-Komponente, die Internet-Kommunikation ermöglicht. Diese beiden Sicherheitslücken werden auf der Risikoskala (CVSS Score) von 1 -10  mit 10 eingestuft. Die anderen beiden Schwachstellen CVE-2020-11901 und CVE-2020-11898 werden mit 9,0 und 9,1 eingestuft.

Um die Schwachstellen auszunutzen, müssten Angreifer sich im Netzwerk befinden. Bei IoT-Geräten sei das allerdings keine schwierige Aufgabe – die meisten IoT-Geräte sind absichtlich oder versehentlich mit dem Internet verbunden. In Ausnahmefällen könnte man die Geräte aber auch von außerhalb eines Netzwerks angreifen. Allerdings seien Angriffe unter Ausnutzung von Ripple20 nur was für echte Könner. Ein IT-Forscher sagte, er habe drei Tage lang vergeblich versucht, die gefährlichsten Angriffe nachzustellen. Er schlussfolgerte, dass es für verschiedene Geräte und die Art und Weise, wie die Abwehr ausgelegt sei, unterschiedlich sein würde.

Daher gab es nur einen Ratschlag an Betroffene: Die Durchführung eines umfassenden Sicherheitstests/Penetrationstests.

Siehe auch:

• IoT Threat Report: Alle Jahre wieder – (Un-)Sicherheit des Internets der Dinge
• Neue Bedrohung: Riesiges IoT Reaper/IOTroop Botnet
• Mega DDoS-Angriff auf französische Webhosting Firma ebenfalls von IoT-Geräten

Artikel von jsof-tech.com: Overview- Ripple20
Artikel von wired.com, 16.06.2020: A Legion of Bugs Puts Hundreds of Millions of IoT Devices at Risk
Artikel von zdnet.com, 16.06.2020: Ripple20 vulnerabilities will haunt the IoT landscape for years to come
Artikel von darkreading.com, 16.06.2020: ‚Ripple20‘ Bugs Plague Enterprise, Industrial & Medical IoT Devices
Artikel von bleepingcomputer.com, 17.06.2020: Ripple20 vulnerabilities affect IoT devices across all industries

Beitragsbild: Public Domain, Creative Commons CC0, methodshop über pixabay.com.