Ripple20 erschüttert das Internet der Dinge

Eine Reihe von teils kritischen Sicherheitslücken in einer TCP/IP-Implementierung gefährdet Geräte in Haushalten, Krankenhäusern und Industrieanlagen.

In Pocket speichern vorlesen Druckansicht 380 Kommentare lesen
Ripple20 erschüttert das Internet der Dinge

(Bild: NicoElNino/Shutterstock.com)

Lesezeit: 3 Min.

Wenn ein paar Netzwerkpakete dazu führen können, dass auf einem Gerät beliebige Befehle ausgeführt werden, bedeutet das allerhöchste Alarmstufe. Genau die ist für viele Geräte aus dem Internet der Dinge jetzt angebracht: Ein Forscherteam hat reihenweise Sicherheitslücken in einer schlanken TCP/IP-Implementierung der Firma Treck entdeckt. Und die nutzen vernetzte Steckdosen, medizinische Geräte, Sensoren industrieller Steuerungen und vieles mehr.

Der TCP/IP-Stack ist die verwundbarste Stelle von Netzwerkgeräten, da er als erste Instanz alle Netzwerkdaten verarbeiten muss – auch die bösartigen eines Angreifers. Ein Programmierfehler an dieser Stelle führt sehr häufig zu kritischen Sicherheitslücken. Der TCP/IP-Stack von Treck ist für Embedded Geräte optimiert und wird etwa von Firmen wie HP, Intel, Schneider Electric, Rockwell Automation und vielen anderen genutzt. Allerdings hat Trecks TCP/IP-Implementierung offenbar in Sachen Sicherheit bislang nicht viel Aufmerksamkeit erfahren.

In ihren systematischen Tests entdeckten Shlomi Oberman und Moshe Kol von der israelischen Sicherheitsfirma JSOF gleich 19 Sicherheitslücken, zusammengefasst "Ripple20" genannt. Bei vielen geht es darum, dass für spezielle TCP/IP-Optionen wie denen zur Fragmentierung die Längenbeschränkungen einzelner Felder nicht beachtet wird. So kommt es zu Pufferüberläufen im Speicher. Das hat dann etwa zur Folge, dass der Angreifer eigenen Code einschleusen und ausführen (Remote Code Execution) oder kritische Daten auslesen kann. Konsequenterweise bewertet das für Industriesteuerungen zuständige ICS-CERT den Vorfall mit der maximalen Schwere von 10 in der CVSSv3-Skala.

Der Hersteller hat die Lücken in der Version 6.0.1.67 beseitigt. Wie die auf die betroffenen Geräte kommen soll, bleibt weitgehend offen. Auf der Security-Seite von Treck findet sich derzeit nur eine Liste von CVE-Nummern, deren Links ins Leere zeigen. Hersteller sollen sich laut CERT/CC an die Firma Treck selbst wenden (security@treck.com). Kunden, die ein verwundbares Gerät einsetzen, sollen sich mit dessen Verkäufer in Verbindung setzen, heißt es lapidar in dem Sicherheitshinweis des CERT/CC, das den Disclosure-Vorgang koordiniert hat.

Wie die Kunden überhaupt herausfinden, dass sie ein Problem haben? Dazu schweigen sich derzeit alle Beteiligten aus. Einen konkreten Test auf Anfälligkeit gibt es bisher anscheinend nicht. Als Schutz schlagen die Entdecker und CERTs vor, "anormalen IP-Verkehr" zu blockieren. Gemeint sind damit spezifizierte TCP/IP-Funktionen wie fragmentierte Pakete, IP-Tunneling und Source Routing.

Die Entdecker der Lücken schätzen, dass "hunderte von Millionen" Geräte verwundbar sind, vielleicht sogar Milliarden – exakte Zahlen dazu liegen noch nicht vor. Diese Geräte kommen fast überall zum Einsatz: zum Beispiel in Smarthomes, Routern, Druckern, Steuerungen von Stromnetzen und Industrieanlagen, Satelliten, Flugzeugen. Das Schlimmste daran ist, dass viele dieser Geräte niemals ein Sicherheitsupdate bekommen werden, weil das nicht vorgesehen ist. Es hat schlicht niemand daran gedacht, dass diese Geräte einmal ein Sicherheitsproblem haben könnten. Oder es wurde daran gedacht, dann wurde festgestellt, dass das alles viel komplizierter und vor allem teurer macht und das Problem dann doch lieber ignoriert.

Einen Ausweg aus dieser verfahrenen Situation schildert der Kommentar von 2016 mit der Forderung, ein Cyber-CE-Siegel einzuführen:

(ju)