Moin,
bei heise.de ist gerade ein Security-Alert aufgetaucht, in dem es um teils kritische Sicherheitslücken in einer TCP/IP-Implementierung der Firma Treck geht. Der TCP/IP-Stack von Treck ist eine Low-Level-Bibliothek, die es Geräten ermöglicht, mit dem Internet zu interagieren. Davon betroffen sind unter anderem auch sogenannte IoT-Geräte. Laut Artikel betrifft dies Embedded Geräte unterandem von HP, HPE, Intel, Schneider Electric, Rockwell Automation, Cisco und vielen anderen.
Die zwei israelischen Sicherheitsforscher Shlomi Oberman und Moshe Kol von JSOF haben nachgewiesen, da es dadurch möglich ist, eigenen Code einzuschleusen auch auch ausführen zu können. Desweiteren können kritische Daten ausgelesen werden. Im Moment sind 19 Sicherheitslücken bekannt.
Wie das in der Praxis aussehen kann, wird in diesem Video von ihnen demonstriert:
Für mehr Informationen besuche die Datenschutz-Seite.
Was bedeutet das im Klartext bzw. was kann ein potentieller Angreifer durch diese Lücken erreichen?
- Ein Angreifer von außerhalb des Netzwerkes, kann die Kontrolle über ein Gerät innerhalb des Netzwerkes übernehmen, wenn dieses mit dem Internet verbunden ist.
- Ein Angreifer, dem es bereits gelungen ist, in ein Netzwerk einzudringen, kann die Schwachstellen der Bibliothek nutzen, um bestimmte Geräte innerhalb des Netzwerks anzugreifen.
- Ein Angreifer könnte einen Angriff ausführen, der in der Lage ist, alle betroffenen Geräte im Netzwerk gleichzeitig zu übernehmen.
- Ein Angreifer kann das betroffene Gerät als eine Möglichkeit nutzen, sich jahrelang im Netzwerk zu verstecken.
- Ein ausgeklügelter Angreifer kann potenziell einen Angriff auf ein Gerät innerhalb des Netzwerks von außerhalb der Netzwerkgrenzen durchführen und so NAT-Konfigurationen umgehen. Dies kann durch einen MITM-Angriff (Man in the middle) oder ein dns-Cache-poisoning erfolgen.
- In einigen Szenarien kann ein Angreifer Angriffe von außerhalb des Netzwerks durchführen, indem er auf Pakete antwortet, die die Netzwerkgrenzen verlassen, und so NAT umgeht.
Gibt es bereits Updates & wie weit verbreitet sind diese Lücken?
Der Hersteller Treck, hat die Lücken in der Version 6.0.1.67 beseitigt. Allerdings wird es sich schwierig gestallten, dieses Update auf die betroffenen Geräte auszurollen. Die Lage hier ist sehr unübersichtlich. Kunden, die ein betroffenens Gerät einsetzen, sollen sich an den Verkäufer/Händler wenden. Allerdings kann man als Kunde im Moment gar nicht wirklich herausfinden, ob man betroffen ist. Ein Test dafür exisitiert schlicht und ergreifend (noch) nicht.
Die Firma Treck hat in den 90ern in Zusammenarbeit mit einem japanischen Unternehmen namens Zuken Elmic diesen TCP/IP-Stack entwickelt.
Nach Beendigung der Zusammenarbeit haben aber beide Unternehmen den Stack unter jeweils anderen Namen an andere Hersteller lizensiert. Diese Hersteller haben dann wiederum Unterlizenzen verteilt.
Die Sicherheitsforscher gehen in ersten Schätzungen daher davon aus, das hunderte Millionen wenn nicht gar Milliarden Geräte davon betroffen sein könnten. Als Beispiel werden folgende Geräte genannt: Smarthomes, Router, Drucker, Steuerungen von Stromnetzen und Industrieanlagen, Satelliten und Flugzeuge. Laut der Forscher sei das fatale an der Geschichte, das viele dieser Geräte niemals ein Sicherheitsupdate bekommen werden. Zitat: "Es hat schlicht niemand daran gedacht, dass diese Geräte einmal ein Sicherheitsproblem haben könnten. Oder es wurde daran gedacht, dann wurde festgestellt, dass das alles viel komplizierter und vor allem teurer macht und das Problem dann doch lieber ignoriert."
Das ICS-CERT bewertet die Lücken mit der maximalen Schwere von 10 in der CVSSv3-Skala.
ZDnet liegen zudem Informationen vor, das die Sicherheitsforscher gerade mal an der Oberfläche des Ganzen gekratzt haben. Ebenfalls vermuten sie das diese Lücken dem IoT noch Jahre lang erhalten bleiben.
Was kann ich aktiv dagegen tun?
Im Moment nicht viel. Wie oben bereits erwähnt, sollte man sich sofern man ein betroffenes Gerät besitzt, an den Hersteller bzw. Händler wenden.
Die Experten von Kaspersky empfehlen zudem folgendes:
Für Unternehmen hat JSOF inzwischen ein Skript entwickelt, um Treck-Produkte in ihren eigenen Netzwerken zu identifizieren. Dies wird in diesem Stadium nicht zu 100 % effektiv sein, kann aber ein effizienter, effektiver ergänzender Ansatz sein, da er die Schwierigkeit angeht, relevante Nutzer in einem unübersichtlichen Lieferkettenpfad zu identifizieren.
Welche Hersteller/Firmen sind betroffen?
Anbei eine Grafik der betroffenen Hersteller:
Hinweis: Die aktuelle Liste wird regelmäßig hier von mir hochgeladen.
Bestätigt:
Ausstehend:
Nicht betroffen oder Low-Risk:
Wie geht es mit Ripple20 weiter bzw. wie ist der aktuelle Stand im Jahr 2021?
Die Entdecker der Sicherheitslücken, Shlomi Oberman und Moshe Kol von JSOF haben auf der Blackhat 2020 über die entdeckten Lücken gesprochen.
Die PDF der Präsentatione könnt ihr hier abrufen: *Klick*
Eines ist durch die Präsentation schnell klar geworden: Die gefundenen Lücken sind genauso fatal wie anfangs befürchtet.
Wie ging es danach weiter? Laut JSOF so:
Das lässt zumindest für die Zukunft hoffen.
Persönliche Meinung:
Das klingt nach einem riesen Bot-Netz, das hier entstehen kann. Bin mal gespannt wie es weitergeht. oO
Gruß
Pain
Quelle: Ripple20 erschuettert das Internet der Dinge | heise online
Ripple20 vulnerabilities will haunt the IoT landscape for years to come | ZDNet
New Ripple20 Flaws Put Billions of Internet-Connected Devices at Risk of Hacking
https://www.kaspersky.de/blog/ripple20-vulnerabilities/24321/
https://www.jsof-tech.com/ripple20/
bei heise.de ist gerade ein Security-Alert aufgetaucht, in dem es um teils kritische Sicherheitslücken in einer TCP/IP-Implementierung der Firma Treck geht. Der TCP/IP-Stack von Treck ist eine Low-Level-Bibliothek, die es Geräten ermöglicht, mit dem Internet zu interagieren. Davon betroffen sind unter anderem auch sogenannte IoT-Geräte. Laut Artikel betrifft dies Embedded Geräte unterandem von HP, HPE, Intel, Schneider Electric, Rockwell Automation, Cisco und vielen anderen.
Die zwei israelischen Sicherheitsforscher Shlomi Oberman und Moshe Kol von JSOF haben nachgewiesen, da es dadurch möglich ist, eigenen Code einzuschleusen auch auch ausführen zu können. Desweiteren können kritische Daten ausgelesen werden. Im Moment sind 19 Sicherheitslücken bekannt.
Wie das in der Praxis aussehen kann, wird in diesem Video von ihnen demonstriert:
Eingebundener Inhalt
Youtube
An dieser Stelle findest du externe Inhalte von Youtube. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst:
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt.Für mehr Informationen besuche die Datenschutz-Seite.
Was bedeutet das im Klartext bzw. was kann ein potentieller Angreifer durch diese Lücken erreichen?
- Ein Angreifer von außerhalb des Netzwerkes, kann die Kontrolle über ein Gerät innerhalb des Netzwerkes übernehmen, wenn dieses mit dem Internet verbunden ist.
- Ein Angreifer, dem es bereits gelungen ist, in ein Netzwerk einzudringen, kann die Schwachstellen der Bibliothek nutzen, um bestimmte Geräte innerhalb des Netzwerks anzugreifen.
- Ein Angreifer könnte einen Angriff ausführen, der in der Lage ist, alle betroffenen Geräte im Netzwerk gleichzeitig zu übernehmen.
- Ein Angreifer kann das betroffene Gerät als eine Möglichkeit nutzen, sich jahrelang im Netzwerk zu verstecken.
- Ein ausgeklügelter Angreifer kann potenziell einen Angriff auf ein Gerät innerhalb des Netzwerks von außerhalb der Netzwerkgrenzen durchführen und so NAT-Konfigurationen umgehen. Dies kann durch einen MITM-Angriff (Man in the middle) oder ein dns-Cache-poisoning erfolgen.
- In einigen Szenarien kann ein Angreifer Angriffe von außerhalb des Netzwerks durchführen, indem er auf Pakete antwortet, die die Netzwerkgrenzen verlassen, und so NAT umgeht.
Gibt es bereits Updates & wie weit verbreitet sind diese Lücken?
Der Hersteller Treck, hat die Lücken in der Version 6.0.1.67 beseitigt. Allerdings wird es sich schwierig gestallten, dieses Update auf die betroffenen Geräte auszurollen. Die Lage hier ist sehr unübersichtlich. Kunden, die ein betroffenens Gerät einsetzen, sollen sich an den Verkäufer/Händler wenden. Allerdings kann man als Kunde im Moment gar nicht wirklich herausfinden, ob man betroffen ist. Ein Test dafür exisitiert schlicht und ergreifend (noch) nicht.
Die Firma Treck hat in den 90ern in Zusammenarbeit mit einem japanischen Unternehmen namens Zuken Elmic diesen TCP/IP-Stack entwickelt.
Nach Beendigung der Zusammenarbeit haben aber beide Unternehmen den Stack unter jeweils anderen Namen an andere Hersteller lizensiert. Diese Hersteller haben dann wiederum Unterlizenzen verteilt.
Die Sicherheitsforscher gehen in ersten Schätzungen daher davon aus, das hunderte Millionen wenn nicht gar Milliarden Geräte davon betroffen sein könnten. Als Beispiel werden folgende Geräte genannt: Smarthomes, Router, Drucker, Steuerungen von Stromnetzen und Industrieanlagen, Satelliten und Flugzeuge. Laut der Forscher sei das fatale an der Geschichte, das viele dieser Geräte niemals ein Sicherheitsupdate bekommen werden. Zitat: "Es hat schlicht niemand daran gedacht, dass diese Geräte einmal ein Sicherheitsproblem haben könnten. Oder es wurde daran gedacht, dann wurde festgestellt, dass das alles viel komplizierter und vor allem teurer macht und das Problem dann doch lieber ignoriert."
Das ICS-CERT bewertet die Lücken mit der maximalen Schwere von 10 in der CVSSv3-Skala.
ZDnet liegen zudem Informationen vor, das die Sicherheitsforscher gerade mal an der Oberfläche des Ganzen gekratzt haben. Ebenfalls vermuten sie das diese Lücken dem IoT noch Jahre lang erhalten bleiben.
Was kann ich aktiv dagegen tun?
Im Moment nicht viel. Wie oben bereits erwähnt, sollte man sich sofern man ein betroffenes Gerät besitzt, an den Hersteller bzw. Händler wenden.
Die Experten von Kaspersky empfehlen zudem folgendes:
- Aktualisieren Sie die Firmware aller Geräte (ohnehin empfohlen, unabhängig von neuen Schwachstellen).
- Minimieren Sie den Internetzugang von kritischen IoT-Geräten;
- Trennen Sie das Büronetzwerk von den Netzwerken, in denen solche Geräte verwendet werden (Tipp: Tun Sie das unabhängig davon);
- Konfigurieren Sie DNS-Proxys in Netzwerken mit IoT-Geräten.
Für Unternehmen hat JSOF inzwischen ein Skript entwickelt, um Treck-Produkte in ihren eigenen Netzwerken zu identifizieren. Dies wird in diesem Stadium nicht zu 100 % effektiv sein, kann aber ein effizienter, effektiver ergänzender Ansatz sein, da er die Schwierigkeit angeht, relevante Nutzer in einem unübersichtlichen Lieferkettenpfad zu identifizieren.
Welche Hersteller/Firmen sind betroffen?
Anbei eine Grafik der betroffenen Hersteller:
Hinweis: Die aktuelle Liste wird regelmäßig hier von mir hochgeladen.
Bestätigt:
Ausstehend:
Nicht betroffen oder Low-Risk:
Wie geht es mit Ripple20 weiter bzw. wie ist der aktuelle Stand im Jahr 2021?
Die Entdecker der Sicherheitslücken, Shlomi Oberman und Moshe Kol von JSOF haben auf der Blackhat 2020 über die entdeckten Lücken gesprochen.
Die PDF der Präsentatione könnt ihr hier abrufen: *Klick*
Eines ist durch die Präsentation schnell klar geworden: Die gefundenen Lücken sind genauso fatal wie anfangs befürchtet.
Wie ging es danach weiter? Laut JSOF so:
JSOF war allerdings vor bzw. nach der Präsentation auf der Blackhat nicht untätig, und hat mit Treck Kontakt aufgenommen, um proaktiv an einer Lösung der Situation mitzuarbeiten. Schnell wurde klar, das sich die Kontaktaufnahme aufgrund der Größe Treck als schwierig erwies. Als kleines Unternehmen welches vorrangig ein Nischenklientel bedient, gab es keinen offiziellen Ansprechparter für Sicherheitsfragen. Mit Hilfe von betroffenen Anbietern wie Digi, HP, Intel und Quadros kam der Stein dann ins Rollen.
Aufgrund von NDAs und anderen Komplexitäten war Treck nicht in der Lage, JSOF eine Liste seiner Kunden und Nutzer des Stacks zur Verfügung zu stellen. Infolgedessen übernahm Treck die Führung im Offenlegungsprozess, da sie am besten in der Lage waren, ihre Kunden zu benachrichtigen und die entsprechenden Patches bereitzustellen.
Interessanterweise führte der Prozess zur Behebung der Schwachstelle dazu, dass einige Kunden von Treck ihre Support-Verträge verlängerten, so dass Treck letztendlich von der Situation profitierte. Als diese Unternehmen über Ripple20 informiert wurden und die potenziellen Risiken verstanden, erkannten sie bald die Notwendigkeit von Supportverträgen und die Bedeutung des Zugangs zu Patches.
Am Ende arbeiteten viele der Unternehmen mit Treck zusammen, um entweder ihre Verträge zu verlängern oder andere Vereinbarungen zu treffen. Dies ist eine nachdenklich stimmende Lektion sowohl für kleine als auch für große Anbieter, die sich vor Sicherheitsproblemen fürchten. Ein proaktives Vorgehen bei Sicherheitsproblemen bedeutet, dass Kunden einen Grund haben, für Wartung und Support zu zahlen, um die Software auf dem neuesten Stand zu halten.
Es ist branchenüblich, eine Sicherheitslücke erst dann zu veröffentlichen, wenn ein Patch verfügbar ist, um sie zu beheben. JOSOF und Treck einigten uns auf einen Standardzeitraum von 90 Tagen, innerhalb dessen Treck die Schwachstellen beheben und seine Kunden über den Patch informieren würde. Treck hatte den Patch Ende März - 45 Tage vor Ablauf der 90-Tage-Frist - zur Verfügung, und informierte JSOF, dass sie sich an alle betroffenen Kunden wenden würden, um sie über diese Sicherheitslücken zu informieren.
Die Veröffentlichung des Patches wurde zweimal verschoben, nachdem einige der betroffenen Firmen um mehr Zeit gebeten hatten. Wobei einige Covid-19-bedingte Gründe für die Verzögerungen angaben. Aus Rücksicht auf diese Unternehmen wurde der Zeitraum von 90 Tagen auf über 120 Tage verlängert. Trotzdem wurde der Umgang mit einigen der teilnehmenden Unternehmen schwierig, da sie zusätzliche Forderungen stellten und einige aus unserer Sicht viel mehr um das Image ihrer Marke besorgt zu sein schienen, als um die Behebung der Sicherheitslücken.
Nach einiger Überlegung wurde der 16. Juni als Datum für die Veröffentlichung von Ripple20 gewählt. In der Zwischenzeit, nachdem Treck und JSOF das Ausmaß der Schwachstellen und die schiere Anzahl der Betroffenen verstanden hatten, konzentrierten sie sich darauf, wie sie die Zeit (120 Tage) am besten nutzen konnten, um alle Parteien, die gefährdet sein könnten, zu identifizieren und bei der Behebung der Lücken zu helfen.
Wie oben beschrieben war Treck aufgrund von NDAs und sonstigen Absprachen nicht in der Lage eine Kundenliste an JSOF zu übergeben. Diese wurden daraufhin kreativ, und beschlossen eine eigene Liste zu erstellen. Dazu analysierten sie die Lieferkette um Umfang und Außmaß des Problems zu verstehen. Schnell wurde JSOF klar, das die Verfolgung des Außmaßes der Treck-Bibliotheken zu umfangreich für ein kleines Team wie sie war.
JSOF hat daraufhin begonnen mit internationalen Organisationen zusammenarbeiten, um ihre Reichweite auf Organisationen und Bereiche auszuweiten, zu denen sie vorher keinen Zugang hatten.
Aus diesem Grund wird der Ripple20-Offenlegungsprozess von mehreren nationalen Computer Emergency Response Team (CERT)-Organisationen und Regulierungsbehörden koordiniert und beaufsichtigt. Alle arbeiten zusammen, um so viele betroffene Anbieter wie möglich zu erreichen, bevor die Schwachstellen öffentlich werden.
Mit dabei sind:
- Das CERT Coordination Center (CERT/CC), das weltweite Zentrum zur Koordinierung von Informationen über Internetsicherheit an der Carnegie Mellon University. Dies ist das erste (und bekannteste) CERT.
- Die Cybersecurity and Infrastructure Security Agency (CISA), Teil des Department of Homeland Security (DHS)
Doch was machen diese CERT-Gruppen eigentlich genau?
CERT-Gruppen konzentrieren sich auf Möglichkeiten, Sicherheitsrisiken zu identifizieren und abzuschwächen. Zum Beispiel können sie eine viel größere Zielgruppe potenziell Betroffener mit Blast-Ankündigungen wie "Massen-Mailings"erreichen, die sie an eine lange Liste von teilnehmenden Unternehmen senden, um sie über die potenzielle Sicherheitslücke zu informieren. Sobald die Betroffenen identifiziert sind, kommt die Schadensbegrenzung ins Spiel. Während die beste Reaktion darin besteht, den ursprünglichen Treck-Patch zu installieren, gibt es viele Situationen, in denen die Installation des ursprünglichen Patches nicht möglich ist. Zum Beispiel wenn das betroffene Gerät gar nicht in der Lage ist, Patches zu verarbeiten. Die CERTs arbeiten auch an der Entwicklung alternativer Ansätze, mit denen das Risiko minimiert oder effektiv beseitigt werden kann, selbst wenn ein Patching nicht möglich ist.
JSOF half bei der Koordinierung des Offenlegungsprozesses, einschließlich der Bereitstellung von Proof-of-Concept-Skripten für einige der Schwachstellen, Vorschlägen für Abhilfemaßnahmen und der Bereitstellung zusätzlicher Listen von Benutzern der Treck-Bibliothek. Sie haben diese Benutzer auf eine Vielzahl kreativer Wege ausfindig gemacht, einschließlich der Zusammenarbeit mit Partnern und einigen interessanten Open-Source-Intelligence-Sammlungen.
Die Zusammenarbeit mit internationalen Gruppen war in diesem Fall noch aus einem anderen Grund wichtig.
Bereits in den 1990er Jahren arbeitete Treck mit einer japanischen Firma namens Elmic Systems zusammen. Veröffentlichte Informationen deuten darauf hin, dass die beiden Unternehmen gemeinsam den TCP/IP-Stack entwickelt haben, obwohl man nicht genau weiß, wie sich diese Zusammenarbeit im Laufe der Jahre entwickelt hat. Treck und Elmic trennten sich später und gingen getrennte Wege.
Treck vermarktet diesen Stack jetzt als Treck TCP/IP in den USA, während Elmic Systems, jetzt Zuken Elmic, ihn als Kasago TCP/IP in Asien vermarktet. Dies führte dazu, dass zwei getrennte Zweige der TCP/IP-Stack-Geräte - einer von Treck und einer von Elmic Systems - in völlig unterschiedlichen geografischen Gebieten vermarktet wurden, ohne dass es eine Zusammenarbeit zwischen ihnen gab, bis JSOF die Schwachstellen gemeldet haben. Sie hatten schon früh versucht, Zuken Elmic zu kontaktieren, waren aber nicht erfolgreich; Zuken hörte nach einer kurzen E-Mail-Korrespondenz auf zu antworten.
Später konnte CERT/CC mit JPCERT/CC, einer nationalen japanischen CERT-Organisation, zusammenarbeiten, die sich um die Weiterverfolgung mit Elmic Systems und anderen betroffenen Unternehmen in der japanischen/asiatischen Lieferkette kümmert. JSOF hat Zuken Elmic bestätigt, dass ihr TCP/IP-Stack von einigen der Treck-Schwachstellen betroffen ist. Erste Untersuchungen zeigen, dass Kasago weit verbreitet ist, was den Beginn einer völlig anderen Lieferkette darstellt.
JSOF hat mit den Sicherheitsanbietern CyberMDX (Cybersicherheitslösung für medizinische Geräte) und Forescout (Sichtbarkeit und Kontrolle von Geräten) zusammengearbeitet. In ihrem Labor haben sie mit der Treck TCP/IP-Bibliothek gearbeitet, um die relevanten Netzwerksignaturen zu identifizieren. Anschließend teilten sie die Netzwerksignaturen mit CyberMDX und Forescout. Beide überprüften ihre eigenen umfangreichen Client-Netzwerke auf diese Signaturen, um weitere betroffene Geräte und Komponenten zu identifizieren.
JSOF weißt darauf hin, dass diese Art der Zusammenarbeit in der Cybersicherheits-Community allen Beteiligten zugute kommt und ihres Wissens nach die erste ihrer Art ist. Sie haben den Kreis der Unternehmen und Geräte, die identifiziert werden können, erweitert, während CyberMDX und Forescout in der Lage sind, ihren Kunden bereits Abhilfemaßnahmen und Transparenz zu bieten, noch bevor das Problem öffentlich bekannt wird.
Es waren weitere Unternehmen beteiligt, die darum gebeten haben, nicht genannt zu werden. Diese Kooperationen haben sich als effektiv erwiesen, obwohl sie erst recht spät im Enthüllungsprozess begonnen wurden. JOSF hat keinen Zweifel daran, dass zukünftige Kooperationen dieser Art früher begonnen werden können und einen immensen Wert für alle Parteien darstellen.
Das lässt zumindest für die Zukunft hoffen.
Persönliche Meinung:
Das klingt nach einem riesen Bot-Netz, das hier entstehen kann. Bin mal gespannt wie es weitergeht. oO
Gruß
Pain
Quelle: Ripple20 erschuettert das Internet der Dinge | heise online
Ripple20 vulnerabilities will haunt the IoT landscape for years to come | ZDNet
New Ripple20 Flaws Put Billions of Internet-Connected Devices at Risk of Hacking
https://www.kaspersky.de/blog/ripple20-vulnerabilities/24321/
https://www.jsof-tech.com/ripple20/
Zuletzt bearbeitet: