Israelische Sicherheitsforscher haben letzte Woche eine Schwachstelle in der Domain Name System (DNS) Implementierung diverser TCP/IP-Stack-Produkte offen gelegt. Die Schwachstelle, die eine Remote Code Execution (RCE) oder einen Denial of Service (DoS) Angriff ermöglicht, betrifft Millionen Geräte (Drucker, Kontrollsysteme in der Industrie etc.).
Anzeige
Ein Satz von neun Sicherheitslücken erhielt den Namen Name:Wreck, die Details wurden JSOF sowie Forescout in diesem Dokument und in diesem Forescout Blog-Beitrag offen gelegt. Der Satz von neun Schwachstellen steht im Zusammenhang mit Domain Name System (DNS)-Implementierungen und ermöglicht entweder Denial of Service (DoS) oder Remote Code Execution (RCE) Angriffe. Über diese NAME:WRECK-Schwachstellen könnten Angreifer möglicherweise Zielgeräte offline zu nehmen oder die Kontrolle über sie zu übernehmen. Die Sicherheitsforscher geben die TCP/IP-Stacks folgender Produkte als betroffen an:
- FreeBSD (Version 12.1): Wird häufig in Computern, Druckern und Netzwerkgeräten verwendet, die sich in der Device Cloud befinden.
- IPNet (VxWorks 6.6): Integrationslösung, die von IPNet Solutions angeboten wird und auf den Unternehmens- und Telekommunikationsmarkt ausgerichtet ist.
- NetX (Version 6.0.1): Gängige Produktkategorien, wo diese Bibliothek verwendet wird, sind Mobiltelefone, Unterhaltungselektronik und Geschäftsautomatisierung, in Geräten wie Druckern, intelligenten Uhren, Systems-on-a-Chip und Energie- und Leistungsgeräten in industriellen Steuerungssystemen (ICS).
- Nucleus NET (Version 4.3): Teil des Nucleus RTOS von Mentor Graphics und in über 3 Milliarden Geräten im Einsatz. Wird häufig in der Gebäudeautomatisierung, Betriebstechnik und VoIP sowie in Ultraschallgeräten, Speichersystemen und kritischen Systemen für die Avionik eingesetzt.
Die Sicherheitsforscher schreiben, dass die Kombination aus der weit verbreiteten Nutzung dieser Stacks und der Exposition der verwundbaren DNS-Clients (erreichbar aus dem Internet) zu einer dramatisch erhöhten Angriffsfläche führt. Selbst mit der konservativsten Schätzungen kommen die Sicherheitsforscher zu Schluss, dass Millionen von Geräten von NAME:WRECK betroffen sind. Die Details des NAME:WRECK-Schwachstellen-Sets sind im technischen Bericht von Forescout beschrieben und werden auf der Black Hat Asia 2021 vorgestellt.
(Quelle: Pexels Markus Spiske CC0 Lizenz)
Es besteht die Gefahr, dass Industriesysteme oder medizinische Geräte angegriffen und Informationen abgegriffen werden. Oder es kommt zur Sabotage der Einheiten bzw. diese werden mit DoS-Angriffen still gelegt oder übernommen, um in zu steuernde Prozesse einzugreifen. Als Anwender kann man wenig machen (außer diese vor dem Zugriff aus dem Internet abzuschirmen) und darf nur darauf hoffen, dass es für die betroffenen Geräte ein Firmware-Update zum Stopfen der Schwachstellen geben wird. heise hat einen Artikel mit den betreffenden CVEs publiziert und bei Bleeping Computer finden sich ebenfalls noch noch einige Informationen.
Anzeige
Anzeige
Wenns jetzt mal irgendwo eine Übersicht der betroffenen Geräte oder wenigstens eine Herstellerliste gäbe. das wäre ja schonmal hilfreich. So bleibt die ganze Sache doch etwas ominös.
Mir ist keine Liste bekannt – man kann nur schauen, ob eines der betroffenen Betriebssysteme (FreeBSD Version 12.1, bei Siemens-Geräten Nucleus NET Version 4.3) etc. verwerwendet wird. Wenn ich Kernspin-Tomographen oder ähnliches verwalten würde, täte ich da mal nachsehen. Ähnliches gilt für Geräte, wenn ich weiß, die verwenden FreeBSD.
Da würde ich mich viel eher fragen warum muss ein Kernspintomograph aus dem Internet erreichbar sein ?
Richtig. MG sind eigentlich in einem getrennten Netz, vollkommen autark ohne Zugriff von außen.
Mal sehen ob wirklich nur diese Version von FreeBSD betroffen ist und ob das nicht noch größere Kreise zieht. Denn z.B. macOS, Cisco Ironport und das Betriebssystem der Playstation basierend ja auch auf FreeBSD bzw. sind damit verbandelt.
Forescout liefert via Github Skripte, um die verwendeten TCP Stacks zu identifizieren: https://github.com/Forescout/project-memoria-detector
Auch wenn für viele TCP Stacks Fixes verfügbar sind, bedeutet dies nicht, dass diese auch für IoT Devices zur Verfügung stehen werden (IoT = Internet of Threads)…
Bitte unbedingt beachten!
Although the script has been tested in a lab environment, we cannot guarantee its use to be safe against every possible device. Malformed ICMP packets, for instance, could crash a device that is running a different stack. THEREFORE, WE DO NOT RECOMMEND ITS USE DIRECTLY ON LIVE ENVIRONMENTS WITH MISSION-CRITICAL DEVICES (SUCH AS HOSPITALS WITH PATIENT-CONNECTED DEVICES OR SAFETY-CRITICAL INDUSTRIAL CONTROL SYSTEMS). An ideal approach is to test devices in a lab setting or during a maintenance window.
Für Nutzer von OPNsense, welches ja FreeBSD 12.1 als Basis nutzt:
Aussage der Entwickler auf meine Nachfrage:
Patch was applied to OPNsense 20.7.3 on September 24, 2020