Ein Forscherteam der Sicherheitsfirma JSOF fand gleich eine ganze Reihe von Sicherheitslücken im IoT. Die Israelis erkannten 19 Lücken, die sie als “Ripple20” bezeichnen. Die Sicherheitslücken in der TCP/IP-Implementierung bedroht Haushalts- und Bürogeräte, aber auch Geräte in Krankenhäusern sowie Industrieanlagen. Betroffen könnten damit mehrere hundert Millionen Geräte sein, eventuell geht die Zahl sogar in die Milliarden.
Ripple20 betrifft Privathaushalte und Wirtschaft
Die Schwachstelle steckt in einem TCP/IP-Stack der Softwarefirma Treck Inc. Neben den Geräten zu Hause und im Büro, im Gesundheitswesen oder bei industriellen Steuerungssystemen bedroht Ripple20 auch die Infrastruktur. Eine Gefahr könnte für Geräte in der Energieversorgung, im Verkehr, aber auch in der Kommunikation bestehen. Auch staatliche Sicherheitssysteme nutzen IoT mit Lösungen der Firma Treck.
Hochriskantes Einfallstor für Schadsoftware
Die Firma Treck entwickelt die schlanke TCP/IP-Stack-Implementierung bereits seit 20 Jahren. Eine Sicherheitslücke an dieser Stelle ist fatal, weil hier alle Netzwerksdaten erstmals auflaufen und verarbeitet werden. Dazu zählt auch bösartige Schadsoftware.
Viele Hersteller von Geräten des IoT nutzen die Bibliothek von Treck, statt in die Entwicklung eigene Ressourcen zu stecken. Zum Teil haben Hersteller die Bibliothek an ihre Bedürfnisse angepasst oder in eigene Programme implementiert. Dadurch ist es nicht möglich, eine verlässliche Zahl der von Ripple20 betroffenen Geräte zu erhalten.
Maximale Bedrohung durch Ripple20
Die Sicherheitsforscher Shlomi Oberman und Moshe Kol von JSOF stellten bei Ihrer Untersuchung von Ripple20 fest, dass bei verschiedenen TCP/IP-Optionen bei Datenfeldern die Längenbegrenzung nicht beachtet wurde. So kann der Puffer des Speichers überlaufen. Dies ermöglicht einem Angreifer, seinen Schadcode einzuschleusen. Diesen kann der Cyberkriminelle dann ausführen und sensible Daten lesen oder stehlen. So liessen sich beispielsweise die Daten von einem Drucker herauslesen.
Das ICS-CERT, das für Bedrohungen an Steuerungen von Industrieanlagen zuständig ist, bewertete die Bedrohung mit der höchsten Stufe 10.
Grosse Herausforderung für Unternehmen
Grosse Unternehmen, die gefährdete Geräte nutzen, stehen vor einer grossen Aufgabe. Zunächst müssen sie herausfinden, welche Geräte aus den IoT Ripple20 gefährdet. Dies wird nicht einfach, weil nicht in jedem Fall erkennbar ist, dass das betroffene Gerät über einen TCP/IP-Stack von Treck verfügt. Hier gilt es zu hoffen, dass der Gerätehersteller handelt.
Treck beseitigte die Lücke mit der Version 6.0.1.67. Die Frage ist nur, wie dieses Update die betroffenen Geräte erreicht. Die Firma Treck veröffentlichte auf ihrer Internetseite eine umfassende Liste mit Informationen zu den bekannten Sicherheitsanfälligkeiten und entsprechende Patches zur Problemlösung.
Generell empfehlen Sicherheitsunternehmen, die Firmware aller Geräte regelmässig zu aktualisieren. Als kritisch bekannte IoT-Geräte sollten ausserdem nur den unbedingt nötigen Internetzugang erhalten. Das Netzwerk, in dem kritische Hardware zum Einsatz kommt, sollte nicht mit dem allgemeinen Büronetzwerk verbunden sein. Hilfe sollte der Gerätehersteller geben können. Ansonsten bleibt nur, den anormalen IP-Fragmentverkehr zu minimieren, wie das CERT empfiehlt.