[English]Sicherheitsforscher haben 33 Schwachstellen in Open Source-Implementierungen des TCP/IP-Stacks gefunden. Diese gefährden die Gerätesicherheit von um die 150 Herstellern. Das gilt für alle Geräte mit Verbindung zum Internet und reicht von Medizingeräten bis hin zu vielen IoT-Systemen. Hier einige Informationen zur Amnesia:33 genannten Schwachstelle.
Anzeige
Was ist Amnesia:33?
AMNESIA:33 ist eine Sammlung von 33 Schwachstellen, die von Sicherheitsforschern von Foresout Research Labs in vier Open-Source-TCP/IP-Stacks (uIP, PicoTCP, FNET und Nut/Net) gefunden wurden. Diese Open-Source-TCP/IP-Stacks werden in Millionen von Geräten auf der ganzen Welt, die am Internet hängen, verwendet. Sprich: Diese Geräte sind aktuell gefährdet.
(Quelle: Pexels – freie Verwendung)
Die Sicherheitsforscher haben am 7. Dezember eine Zusammenfassung auf Security Boulevard sowie in diesem Blog-Beitrag (wenig Details, sondern eher Werbung für deren Sicherheitschulungen) veröffentlicht. Der Artikel verlinkt zwar einen technischen Report, der aber wohl noch nicht veröffentlicht oder wieder zurück gezogen wurde. Die Einzelheiten dieser Schwachstellen sollen auf der Black Hat Europe 2020 (7. – 10. Dez. 2020) präsentiert werden. Die Sicherheitsforscher haben eine Zusammenfassung auf Security Boulevard veröffentlicht:
- AMNESIA:33 betrifft sieben verschiedene Komponenten der Stacks (DNS, IPv6, IPv4, TCP, ICMP, LLMNR und mDNS). Zwei Schwachstellen in AMNESIA:33 betreffen nur drahtlose 6LoWPAN-Geräte.
- AMNESIA:33 hat vier Kategorien potenzieller Auswirkungen: Remote Code Execution (RCE), Denial of Service (DoS über Absturz oder Endlosschleife), Informationsleck (Infoleak) und DNS-Cache-Poisening. Vier der Schwachstellen ermöglichen eine Remote-Code-Ausführung und sind als kritisch anzusehen.
Die Sicherheitsforscher schreiben, dass diese Schwachstellen bei vernetzten Geräten ausgenutzt werden können, um die volle Kontrolle über ein Zielgerät zu übernehmen (RCE), seine Funktionalität zu beeinträchtigen (DoS), potenziell sensible Informationen zu erhalten (Infoleak) oder bösartige DNS-Einträge zu injizieren, um ein Gerät auf eine vom Angreifer kontrollierte Domäne zu verweisen (DNS-Cache-Poisoning).
Anzeige
Die AMNESIA:33-Schwachstellen wurden von den Forescout Research Labs im Rahmen des Projekts Memoria entdeckt. Das ist eine Initiative, die darauf abzielt, der Cybersicherheits-Community die größte Studie über die Sicherheit von TCP/IP-Stacks zur Verfügung zu stellen.
Geräte von mindestens 150 Herstellern potentiell betroffen
Die Sicherheitsforscher schreiben: Je nachdem, wie ein TCP/IP-Stack verwendet wird, können die verschiedenen Geräte jedoch unterschiedlich von den Schwachstellen betroffen sein. Die Experten schätzen, dass mehr als 150 Anbieter und Millionen von Geräten wahrscheinlich für AMNESIA:33 anfällig sind. Die Sicherheitsforscher von Foresout Research Labs haben ihre Erkenntnisse den koordinierenden Stellen (wie dem ICS-CERT und dem CERT/CC) mitgeteilt, die sich mit den identifizierten Anbietern in Verbindung gesetzt haben. Einige Anbieter haben die Schwachstellen bereits bestätigt und ihre Patches herausgegeben, aber einige sind noch in der Untersuchungsphase.
Die weitverbreitete Natur dieser Schwachstellen bedeutet, dass viele Organisationen auf der ganzen Welt von AMNESIA:33 betroffen sein könnten. Organisationen, denen es nicht gelingt, dieses Risiko einzudämmen, lassen Angreifern offene Türen für IT-, OT- und IoT-Geräte in ihrer gesamten Organisation offen. Im Artikel hier gehen die Sicherheitsforscher detaillierter auf die Risiken ein und machen Vorschläge, wie Nutzer die Schwachstellen in den Geräten entschärfen können. Für Privatnutzer bleibt nur Sicherheitsupdates, sofern verfügbar, einzuspielen. Firmen und Organisationen haben einige zusätzliche Möglichkeiten wie Netzwerk-Segmentierung, IPv6-Verkehr blockieren, interne DNS-Server verwenden, TCP/IP-Pakete überwachen und filtern, um das Risiko zu reduzieren.
Die BSI-Position zu Amnesia:33
Die Kollegen von heise haben in einem Artikel (siehe auch nachfolgenden Tweet) eine Warnung des BSI aufgegriffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte Firmen kontaktiert und auf Amnesia:33 bzw. die Schwachstellen in den in den Geräten verwendeten TCP/IP-Stacks hingewiesen.
Das BSI war im Rahmen der koordinierten Offenlegung (Coordinated Vulnerability Disclosure (CVD)-Prozess) vorab in den Vorgang einbezogen. In diesem Rahmen hat das BSI Hersteller von Komponenten angeschrieben. Nicht alle kontaktierten Firmen reagierten auf diese Information. Details zu diesem Thema lassen sich bei heise oder beim BR nachlesen.
Ergänzung: Die Forscher haben auf der Blackhat-Konferenz noch einige Details offen gelegt. Wired hat diesen Artikel dazu publiziert.
Anzeige
Zur Info, falls relevant, ich erhielt eben für ein paar Minuten im Blog einen Script-Fehler.
Ist nicht relevant – ich werkele hier im Maschinenraum und habe versucht, die .htaccess auszutauschen und zu bearbeiten. Jedes Mal schieße ich den Blog aus dem Netz (der Windows Editor hat da wohl Probleme und lädt eine kaputte Datei hoch) – und bin jetzt wieder auf den Backups von Ende Nov. 2020. Jetzt läuft wenigstens das Publishing in allen Blogs per Windows Live Writer wieder.
>der Windows Editor hat da wohl Probleme und lädt eine kaputte Datei hoch
Günni probiere doch nochmal Notepad++ und stelle unten entweder Unix oder Windows ein. Lasse dir die linefeeds und carriage returns anzeigen. Linux mag nur linefeeds.
Ja ja ich weiß, das wird dir bekannt sein und kann der Windows Editor auch mittlerweile. Aber irgendwelche Zeichen scheinen ja vermurkst zu werden. Notepad++ lässt z.B. das Encoding in Frieden.
https://i.imgur.com/bUuIKod.png
Kommst du mit WinSCP über SSH rein?
Habe ich letztendlich genutzt. Doof ist halt: Im FileZilla ist der Notepad integriert – und ich wollte es mir einfach machen. Letztendlich musste ich über Notepad++ gehen, dann hat es auch geklappt – eine Mütze Schlaf, ein funktionierendes Backup einer .htaccess und etwas Ruhe haben es gerichtet.
Und am Ende des Tages habe ich das Gefühl, dass ein Update des Really Simple SSL Plugins mir diesen Ärger eingebrockt hat. Schon das zweite Plugin, welches mir durch Updates die Infrastruktur zerschießt – ich glaube, ich werde langsam zu alt für den Schei**.
Danke an die Blog-Leserschaft für die vielen Hinweise – kannte viele der Artikel, aber am Ende des Tages scheitert es an Trivialitäten (falscher Editor, der die .htaccess kaputt macht, eine .htaccess-Anweisung, die den Blog auf https zwingt, aber WLW blockt, kürzlich war mein FileZilla kaputt und hat bestimmte Uploads verweigert, ein Plugin zwingt den Server in die Knie usw.). Wenn man das im Rückblick anschaut, ist da immer der 'hättest Du schnell richten können'-Effekt, wenn man das gewusst hätte und täglich mit dem Zeugs umgeht).
Hi, ich nutze ebenfalls Filezilla und Notepad++. Auch wenn die Wahrscheinlichkeit sehr hoch ist, dass das bereits bekannt ist, aber unter "Einstellungen > Bearbeiten von Dateien" kann ich folgendes empfehlen:
– benutzerdefinierten Editor verwenden ("C:\Program Files\Notepad++\notepad++.exe" bzw. den Pfad zur x86er Version, sofern verwendet)
– Verwende Dateitypzuordnungen falls verfügbar
– Haken bei "Lokal bearbeitete Dateien beobachten"
Das macht das Arbeiten in Filezilla bzw. das Bearbeiten von Textdateien unfassbar einfacher, auch weil Notepad++ die Syntax sehr gut interpretiert, wenn es eine Dateiendung erkennt.
Ich denke zwar, das war schon bekannt, aber falls nicht: ich hoffe es hilft :-)
nutze auch Filezilla und Notepad++ im Verbund ;) in den Settings > File editing kann man einen eigenen Editor oder aber den Editor vom System (txt Dateiendung) hinterlegen, das erspart einiges an Arbeit.