Laut dem in Israel ansässigen Sicherheitsunternehmen JSOF sind hunderte Millionen vernetzter Geräte durch 19 Sicherheitslücken für Remote-Angriffe anfällig. Die Fehler, die gemeinsam als Ripple20 bezeichnet werden, betreffen den TCP/IP-Stack des Softwareunternehmens Treck. Sie wird vor allem in IoT-Geräten von spezialisierten Boutique-Anbietern und von mehreren Fortune 500-Unternehmen eingesetzt.
Zu den gefährdeten Produkten gehören Smart-Home-Geräte, industrielle Steuerungssysteme, medizinische Systeme und Gesundheitssysteme. Außerdem sind Geräte betroffen, die in wichtigen Teilen der Infrastruktur (Energie, Verkehr, Kommunikation) sowie im staatlichen und nationalen Sicherheitssektor eingesetzt werden.
JSOF hob einige mögliche Hochrisikoszenarien hervor, die auftreten könnten, wenn diese Mängel bewaffnet würden:
„Daten könnten von einem Drucker gestohlen werden, das Verhalten einer Infusionspumpe könnte geändert werden oder industrielle Steuergeräte könnten fehlerhaft funktionieren. Ein Angreifer könnte jahrelang schädlichen Code in eingebetteten Geräten verstecken. Eine der Sicherheitslücken könnte den externen Zugriff auf Netzwerke ermöglichen.“
Dies, so fügten sie hinzu, seien nur einige Beispiele für mögliche Schäden.
Für die Forscher bestand eine große Herausforderung darin, den Verteilungspfad des TCP/IP-Stacks von Treck zu verfolgen. Sie fanden heraus, dass diese in den letzten 20 Jahren ihren Weg in unzählige Geräte gefunden hat, die auf der ganzen Welt vertrieben werden. Sie entdeckten sogar verschiedene Versionszweige der Bibliothek, die auf ein gemeinsames Projekt von Treck mit einem japanischen Unternehmen in den 1990er Jahren zurückgehen.
Kritische Schwachstellen
Laut einer Sicherheitsempfehlung der Cybersecurity and Infrastructure and Security Agency (CISA) der amerikanischen Homeland Security Behörde werden vier Schwachstellen als kritisch eingestuft und erhalten auf der CVSSv3-Schwachstellenskala eine Bewertung von über 9 von 10.
Zwei Mängel - CVE-2020-11896 und CVE-2020-11897 – erhielten die Maximalbewertung von 10, was die Schwere des Problems unterstreicht. Ersterer kann zu einer Remotecodeausführung führen, während zweiterer zu einem Out‑of‑bounds Schreibvorgang führen kann. Zwei weitere Sicherheitslücken wurden als kritisch eingestuft: CVE-2020-11898 könnte zu Informationsabfluß führen und CVE-2020-11901 könnte die Remote-Code-Ausführung über eine einzige ungültige DNS-Antwort ermöglichen.
VERWANDTER ARTIKEL: Was passiert, wenn globale Lieferketten zusammenbrechen?
Vier Lücken - eine mit hohem und drei mit niedrigem Schweregrad - wurden im Laufe der Jahre aufgrund routinemäßiger Codeänderungen geschlossen, blieben jedoch auf einigen betroffenen Geräten offen. Viele andere Lücken weisen, aufgrund der Konfigurierbarkeit und Änderungen des TCP/IP-Stacks, mehrere Varianten auf.
Für alle Geräte die noch benutzt werden, birgt Ripple20 jedoch immer noch ein beträchtliches Risiko. Denn "in allen Szenarien kann ein Angreifer die vollständige Kontrolle über das Zielgerät aus der Ferne erlangen, ohne dass eine Benutzerinteraktion erforderlich ist", so JSOF.
Um die Risiken zu minimieren, hat JSOF eine Reihe von Empfehlungen, einschließlich einer umfassenden Risikobewertung bevor Abwehrmaßnahmen ergriffen werden. Computer Emergency Response Teams (CERT) wie das CERT Coordination Center von Carnegie Mellon sowie das JPCERT/CC und CERT IL haben ebenfalls Hinweise zum Umgang mit Risiken aufgrund von Ripple20 veröffentlicht. Falls Patches für Geräte veröffentlicht werden und wurden, sollten Sie sie jetzt anwenden.