Ausnutzung von Schwachstellen
Ripple20-Schwachstellen gefährden IoT-Geräte
Neue Schwachstellen haben das Potenzial, Millionen von Internet of Things (IoT)-Geräten in vielen verschiedenen Branchen zu schädigen.
von Trend Micro
Die israelische Sicherheitsfirma JSOF hat Informationen zu einer Reihe von Schwachstellen veröffentlicht, die sie Ripple20 nennt. Diese Schwachstellen haben das Potenzial, Millionen von Internet of Things (IoT)-Geräten in vielen verschiedenen Branchen zu schädigen. Wichtige Systeme in der Gesundheits-, Öl- und Gasindustrie, im Transportwesen, in der Energiewirtschaft und im verarbeitenden Gewerbe können von diesen Fehlern betroffen sein. Eine Liste bestimmter Hersteller mit anfälligen Geräten ist in dem technischen Bericht von JSOF zu finden.
Die Schwachstellen stammen von einer Software, die von der amerikanischen Firma Treck Inc. entwickelt und Ende der neunziger Jahre auf den Markt gebracht wurde. Die Software beinhaltet einen leichtgewichtigen TCP/IP-Stack und ermöglicht es Unternehmen, ihre Geräte oder Software über TCP/IP-Verbindungen mit dem Internet zu verbinden.
Angesichts der Tatsache, dass diese Software bereits seit vielen Jahren verfügbar und im Einsatz ist und Unternehmen aller Größenordnungen immer mehr Geräte online bringen, ist es nicht verwunderlich, dass die Auswirkungen von Ripple20 so breit gestreut sind. Die betroffenen Firmen reichen von Ein-Personen- bis hin zu multinationalen Fortune-500-Unternehmen.
IoT- und industrielle Internet of Things (IIoT)-Geräte benötigen leichtgewichtige Netzwerkkomponenten, um Rechenleistung zu sparen. Aber Probleme mit Netzwerk-Kommunikationssoftware von Drittanbietern belasten die Landschaft seit Jahren. Im Jahr 2018 gefährdeten 13 Fehler im FreeRTOS-TCP/IP-Stack die IoT-Geräte in Privathaushalten und in kritischen Infrastrukturen, und 2019 wurden medizinische Geräte und Krankenhausnetzwerke durch eine Reihe von elf Schwachstellen namens Urgent/11 bedroht. Die Schwachstellen befanden sich im IPnet, einer Softwarekomponente eines Drittanbieters, die die Netzwerkkommunikation unterstützt. Ein Angreifer könnte diese Schwachstellen potenziell nutzen, um die Kontrolle über medizinische Geräte aus der Ferne zu übernehmen oder deren Funktionsfähigkeit zu behindern.
Die Schwachstellen
Die in der Software gefundenen Schwachstellen zeichnen sich durch die Breite ihrer Auswirkungen aus - die Software hat sich über die ganze Welt verbreitet und wurde direkt und indirekt von vielen verschiedenen Herstellern verwendet.
Konkret handelt es sich bei Ripple20 um eine Gruppe von 19 Fehlern, die bei erfolgreicher Ausnutzung einem Angreifer erlauben würden, willkürlich Code auf anfälligen Geräten auszuführen, mit denen er sich verbinden kann. Hacker können über lokale Netzwerke oder über das Internet auf anfällige Geräte zugreifen und die vollständige Kontrolle über diese Geräte übernehmen - ein kritisches Problem, wenn es sich dabei auch um solche in Stromnetzen, Produktionsstätten und Krankenhäusern handelt.
Einer dieser Bugs ist eine Schwachstelle im DNS-Protokoll, die von einem erfahrenen Hacker dazu benutzt werden kann, Geräte anzugreifen, die nicht mit dem Internet verbunden sind. JSOF hat weitere mögliche Angriffe skizziert, unter anderem die Nutzung angreifbarer Geräte, um andere Geräte in einem Netzwerk ins Visier zu nehmen oder um im Netzwerk verborgen zu bleiben, und die Verbreitung eines Angriffs, um die Kontrolle über alle betroffenen Geräte im Netzwerk gleichzeitig zu übernehmen. Treck hat ein Sicherheits-Update zur Behebung dieser Schwachstellen veröffentlicht.
Die Cybersecurity and Infrastructure Security Agency (CISA) hat fünf dieser Schwachstellen mit über acht bewertet, wobei zwei davon eine zehn erhielten (die höchste mögliche Bewertung). Sie empfehlen Benutzern auch, „Abwehrmaßnahmen“ gegen diese Schwachstellen zu ergreifen - Installation der Updates von Treck, Minimierung der Exponierung des Netzwerks, Einsatz von Firewalls, Verwendung virtueller privater Netzwerke und interner DNS-Server.
Eindämmung und Lösungen
Entdeckung ist der erste Schritt zur Vermeidung von Angriffen, die diese Schwachstellen missbrauchen. In einigen Fällen sind sich die Eigentümer von Assets möglicherweise nicht bewusst, dass diese Schwachstellen in ihrer Umgebung existieren. Produkte wie EdgeIPSTM und EdgeFireTM können beim Entdecken von Ripple20-Schwachstellen unterstützen, indem sie den Netzwerkverkehr scannen.
Es gibt auch einige andere Taktiken, die bei der Eindämmung von Ripple20 helfen können:
- Netzwerksegmentierung: Eine angemessene interne Segmentierung und Mikrosegmentierung sollte in der OT-Netzwerkumgebung durchgeführt werden. Verantwortliche können EdgeFireTM für die interne Segmentierung durch kommunikationsgesteuerte NAT- und ICS-Protokolle verwenden. EdgeIPSTM kann eine tiefgreifende Mikrosegmentierung durchführen.
- Netzwerk-Policy für die Kontrolle: Ohne eine angemessene Lösung kann das Prinzip des Null-Vertrauens nicht erreicht werden. EdgeFireTM und EdgeIPSTM bieten Netzwerkzugriffs-Whitelists für M2M-Kommunikation über IP-Adressen, ICS-Protokolle und Befehle.
- Vorbeugung: Bei Gefahren mit hohem Potenzial aktualisieren EdgeIPSTM und EdgeFireTM den 6/30-Regelsatz, um Schwachstellen zu verhindern.
Der Originalbeitrag beinhaltet auch die Indicators of Compromise und eine Auflistung der Ripple20-Schwachstellen.