Ein Forscherteam der Sicherheitsfirma JSOF hat gleich eine ganze Reihe von Sicherheitslücken im IoT entdeckt. Die israelischen Forscher identifizierten 19 Lücken, die sie als „Ripple20″ bezeichnen. Die Schwachstellen in der TCP/IP-Implementierung bedrohen Haushalts- und Bürogeräte, aber auch Geräte in Krankenhäusern und Industrieanlagen. Betroffen könnten mehrere hundert Millionen Geräte sein – die Zahl könnte sogar in die Milliarden gehen.
Ripple20 betrifft Privathaushalte und Wirtschaft
Die Schwachstelle steckt in einem TCP/IP-Stack der Softwarefirma Treck Inc. Neben Geräten zu Hause und im Büro, im Gesundheitswesen und bei industriellen Steuerungssystemen bedroht Ripple20 auch die Infrastruktur – Energieversorgung, Verkehr, Kommunikation. Auch staatliche Sicherheitssysteme setzen auf IoT-Lösungen von Treck.
Hochriskantes Einfallstor für Schadsoftware
Treck entwickelt diese schlanke TCP/IP-Stack-Implementierung seit über 20 Jahren. Eine Lücke an dieser Stelle ist kritisch: Hier laufen alle Netzwerkdaten erstmals auf und werden verarbeitet – inklusive bösartiger Schadsoftware.
Viele IoT-Gerätehersteller nutzen die Bibliothek von Treck, statt eigene Ressourcen in die Entwicklung zu stecken. Teils haben sie die Bibliothek angepasst oder in eigene Programme eingebettet. Das macht es unmöglich, eine verlässliche Zahl der betroffenen Geräte zu ermitteln.
Maximale Bedrohung durch Ripple20
Die Sicherheitsforscher Shlomi Oberman und Moshe Kol von JSOF stellten bei ihrer Untersuchung fest, dass verschiedene TCP/IP-Optionen die Längenbegrenzung bei Datenfeldern nicht einhalten. Der Speicherpuffer kann dadurch überlaufen – und ein Angreifer seinen Schadcode einschleusen. Einmal ausgeführt, lassen sich sensible Daten lesen oder stehlen: So könnten etwa Druckerdaten abgegriffen werden.
Das ICS-CERT, zuständig für Bedrohungen an industriellen Steuerungssystemen, bewertete die Bedrohung mit der höchsten Stufe 10.
Grosse Herausforderung für Unternehmen
Grosse Unternehmen, die gefährdete Geräte einsetzen, stehen vor einer erheblichen Aufgabe. Zuerst müssen sie herausfinden, welche ihrer IoT-Geräte von Ripple20 betroffen sind – was schwierig ist, weil nicht immer erkennbar ist, ob ein Gerät den Treck-TCP/IP-Stack verwendet. Hier sind die Gerätehersteller gefragt.
Treck hat die Lücke mit Version 6.0.1.67 geschlossen. Die offene Frage: Wie erreicht dieses Update die betroffenen Geräte? Treck hat auf seiner Website eine umfassende Liste mit Informationen zu den bekannten Schwachstellen und entsprechenden Patches veröffentlicht.
Grundsätzlich empfehlen Sicherheitsunternehmen, die Firmware aller Geräte regelmässig zu aktualisieren. IoT-Geräte mit bekannten Risiken sollten ausserdem nur den minimal nötigen Internetzugang erhalten. Kritische Hardware gehört in ein separates Netzwerk – nicht ins allgemeine Büronetz. Wer keine andere Option hat: Das CERT empfiehlt, anormalen IP-Fragmentverkehr zu minimieren.