IoT-Geräte in Gefahr? Ungefixte Bugs in der uClibc-Bibliothek

Es gibt eine weitere Schwachstelle, die das Internet der Dinge (IoT) anfällig für DNS-Poisoning-Angriffe macht. Bei diesem neuen Vorgang speisen Angreifer gefälschte Daten ein, um den Webverkehr umzuleiten. Aufgedeckt wurde dies erst kürzlich: von Nozomi Network Labs. Das IoT-Sicherheitsunternehmen zeigte Probleme auf, die mit der DNS-Implementierung (Domain Name System) aller Versionen von uClibc und uClibc-ng zusammenhingen. Die Bibliotheken werden häufig von Linux-Entwicklern verwendet und sind daher auch unter IoT-Geräten verbreitet. uClibc-ng ist ein Zweig, der speziell für OpenWRT entwickelt wurde. Zudem wird das Betriebssystem vor allem von Routern verwendet, die in verschiedenen kritischen Infrastrukturen eingesetzt werden.

Dem entdeckten Fehler liegt die Vorhersehbarkeit der Transaktions-ID zugrunde. Denn diese IDs sind als Parameter in den von der Bibliothek generierten DNS-Anfragen enthalten. Hierbei handelt es sich um eine eindeutige Kennung für jede vom DNS-Client generierte Anfrage. Das bedeutet auch, dass sie in der Antwort enthalten sein muss, damit diese als gültig akzeptiert wird. Bei einem DNS-Poisoning-Angriff sind Kriminelle dazu in der Lage, den DNS-Client zu missbrauchen. Denn der Angreifer lässt den Client eine gefälschte Antwort akzeptieren. Auf diese Weise veranlasst er ihn dazu, die Netzwerkkommunikation mit einem beliebig definierten Endpunkt durchzuführen – anstelle sich mit dem legitimen Endpunkt zu verbinden. Anschließend kann der Eindringling die übertragenen Informationen stehlen, manipulieren oder weitere Angriffe durchführen. Die grundlegende Frage ist daher, wie es Kriminellen gelingt, eine authentische Antwort zu erstellen.

Nozomi Networks Labs hat die Person befragt, die für die Wartung der Bibliotheken zuständig ist. Sie gibt an, den Fix nicht entwickeln zu können. Sie schlug stattdessen vor, Berichte über die Sicherheitslücke an eine eingeschränkte Community weiterzugeben. Diese solle dann dabei helfen, den Fehler zu beheben.

Millionen von IoT-Geräten könnten von diesem Fehler betroffen sein. Denn auch große Anbieter wie Linksys, Netgear, Axis oder auch Linux-Distributionen wie Embedded Gentoo nutzen die uClibc- und uClibc-ng-Bibliotheken.

Gefährdung von Bibliotheken durch Code-Daten

Die Verwaltung von Computerbibliotheken stellt eine große Herausforderung für Entwickler dar. Das zeigt auch eine jüngere Studie von Veracode, die sich ausschließlich auf die Sicherheit dieser Bibliotheken konzentrierte. Die Umfrage beinhaltet eine Analyse von 13 Millionen Varianten aus mehr als 86 Millionen Repositorien, die mehr als 301 Millionen Bibliotheken umfassen. Und obwohl die meisten Softwarelösungen der Gegenwart auf Datenbanken basieren, zeigt sie, dass „es sich nicht um eine feste Basis handelt, sondern um eine Basis, die sich ständig weiterentwickelt”. Demzufolge passen sich die Entwicklungsmethoden nicht immer an die dynamische Natur der Bibliotheken an, was die Organisationen wiederum vor große Herausforderungen stellt.

Denn trotz der dynamischen Natur von Open-Source-Bibliotheken verwalten Entwickler diese nicht so intensiv. In 79 % der Fälle haben Developer die Bibliotheken von Drittanbietern nicht aktualisiert, nachdem sie diese in ihre Codebasis aufgenommen hatten.

Doch was hält die Entwickler davon ab, anfällige Open-Source-Bibliotheken zu aktualisieren? Die Umfrage von Veracode ergab, dass ein Mangel an kontextbezogenen Informationen ein Hindernis darstellt. Demnach gaben die Entwickler an, mehr Informationen zu brauchen. Ein Beispiel lautete dabei, dass sie verstehen müssten, wie sich eine anfällige Bibliothek auf ihre Anwendungen auswirkt. Die Entwickler machten zudem die Angaben, mehr als sieben Monate zu benötigen, um nur 50 % der bekannten Schwachstellen zu beheben. Entwickler, die Zugang zu den notwendigen Informationen hatten, konnten denselben Anteil an Schwachstellen dagegen in nur drei Wochen beheben.

Nach Angaben von Veracode können Entwickler schnell handeln, wenn sie auf gefährdete Bibliotheken aufmerksam gemacht werden. So werden etwa 17 % der gefährdeten Bibliotheken innerhalb einer Stunde nach der Meldung der Sicherheitslücke behoben; 25 % innerhalb von sieben Tagen.

Die meisten Sicherheitslücken in Open-Source-Anwendungen erfordern nur geringfügige Korrekturen. Schließlich können 92 % der Bibliothekslücken mit einem Update behoben werden. Zudem ist für nur 69 % der Updates eine minimale Versionsänderung oder sogar weniger notwendig.

Darüber hinaus fragte die Studie die Entwickler danach, worauf sie achten, wenn sie eine neue Bibliothek einführen wollen. Die Antworten auf diese Frage sind keineswegs überraschend. Dementsprechend standen die Funktionen an erster Stelle, denn was ist ein großer Haufen Code wert, wenn er keinen Zweck erfüllt? Die zweite Antwort betraf die Lizensierung und erst an dritter Stelle folgte die Sicherheit.

Was die Umfrage jedoch alarmierend erscheinen lässt: die meisten Bibliotheken werden demnach nie oder nur selten aktualisiert. Denn etwa 50 % benötigen mehr als 21 Monate, um Aktualisierungen zu erhalten. Außerdem haben etwa 25 % selbst vier Jahre nach ihrer Installation, dem maximalen Zeithorizont der Umfrage, keine Aktualisierung erfahren.