Amnesia:33: TCP/IP-Schwachstellen gefährden Millionen internetfähige Geräte

Sicherheitsforscher haben Details zu 33 Anfälligkeiten in vier Open-Source-TCP/IP-Bibliotheken veröffentlicht. Sie werden in der Gerätesoftware von Produkten von mehr als 150 Anbietern eingesetzt. Als Folge sind Nutzer von Millionen von internetfähigen Geräten für Verbraucher und Industrie den als Amnesia:33 bezeichneten Schwachstellen ausgesetzt.

Entdeckt wurden die Sicherheitslücken von Forschern des Sicherheitsanbieters Forescout. Sie fanden die Bugs unter anderem in Routern, Switches, Druckern, Smartphones, Spielkonsolen, RFID-Trackern, IP-Kameras, unterbrechungsfreie Stromversorgungen und Sensoren. Betroffen sind die TCP/IP-Bibliotheken uIP, FNET, picoTCP und Nut/Net.

Gerätehersteller integrieren die Bibliotheken in ihre Firmware, damit ihre Produkte das Netzwerkprotokoll TCP/IP unterstützen. Laut Forescout sind die Anfälligkeiten für Denial-of-Service-Angriffe, den Diebstahl von Informationen, DNS-Cache-Poisoning-Attacken und sogar das Einschleusen und Ausführen von Schadcode aus der Ferne geeignet. Welche Schwachstelle wie ausgenutzt werden kann ist den Forschern zufolge allerdings auch vom Einsatzgebiet des anfälligen Geräts abhängig.

Die Schwachstellen waren das Ergebnis einer systematischen Fehlersuche bei insgesamt sieben TCP/IP-Stacks. Auslöser waren die im vergangenen Jahr aufgestöberten Schwachstellen im TCP/IP-Stack Treck, die als Ripple20 bezeichnet wurden. Die Forscher vermuteten, dass auch andere Bibliotheken fehlerhaft sein könnten. Tatsächlich fanden sie aber in den Stacks IwIP, uC/TCP-IP und CycloneTCP keine Anfälligkeiten.

Wie bei Ripple20 ist das eigentliche Problem nicht die Entwicklung von Patches, sondern deren Verteilung an die Endgeräte. Nicht alle betroffenen Produktgruppen wie Smartphones und Router ermöglichen beispielsweise ein Update Over-the-Air. Viele Geräte lassen sich nur manuell aktualisieren, wobei häufig gerade Verbraucher mit diesem Verfahren nicht vertraut sind. Andere Geräte verfügen hingegen nicht über eine Option zur Aktualisierung der Gerätesoftware.

Ein anderes Problem ist den Forschern zufolge, dass Nutzer, also auch Unternehmen, gar nicht wissen, welche Software auf den von ihnen eingesetzten Geräten läuft. Von daher könnten Nutzer nicht einmal selbst herausfinden, ob ihre Geräte angreifbar sind.

Für die Fehler machte Forescout unter anderem mangelhafte Programmiertechniken verantwortlich. Unter anderem sollen die Entwickler selbst auf einfache Prüfungen von Eingabewerten verzichtet haben. Alles Details ihre Untersuchung halten die Forscher in einem 47-seitigen PDF-Dokument bereit.