Home > IoT > TCP/IP-Schwachstellen bedrohen IoT-Geräte

TCP/IP-Schwachstellen bedrohen IoT-Geräte

Sheila Zabeu -

Juni 30, 2021

Forescout hat bekanntgegeben, dass in FreeBSD und drei weiteren für das IoT konzipierten Betriebssystemen eine Reihe von TCP/IP-Schwachstellen existieren: Nucleus NET, IPNEt und NetX. Diese neun Schwachstellen könnten potenziell 100 Millionen IoT-Geräte betreffen.

Die Sicherheitsforscher von Forescout nennen diese Schwachstellen “NAME: WRECK”, da sie das Domain Name System (DNS) Protokoll betreffen. Namensgebend war die Tatsache, dass das Parsen von Domain-Namen DNS-Implementierungen in TCP/IP zerstören kann.

Laut den Forescout-Forschern stehen sie im Zusammenhang mit der Art und Weise, wie DNS-Protokolle ausgeführt werden. Sie können den Weg für Denial of Service (DoS)-Angriffe oder Remote-Code-Ausführung ebnen. So gelingt es, potenziellen Angreifern, die Zielsysteme zum Abschalten zu bringen oder die Kontrolle über sie zu übernehmen.

DNS ist ein komplexes Protokoll, das dazu neigt, anfällige Implementierungen hervorzubringen. Diese Schwachstellen werden oft von externen Angreifern ausgenutzt, um die Kontrolle über Millionen von Geräten gleichzeitig zu übernehmen.

Konkret bietet der Bericht einen genaueren Blick auf das im DNS-Protokoll verwendete Schema der „Nachrichtenkomprimierung”. Dies eliminiert „die Wiederholung von Domänennamen in einer Nachricht“, um die Größe der Nachrichten zu reduzieren.

Wenn man die FreeBSD-, Nucleus NET- und NetX-Stacks betrachtet, sind laut Forescout das Gesundheits- und Regierungswesen am stärksten betroffen. Nimmt man an, dass nur 1 Prozent der mehr als 10 Milliarden Installationen anfällig sind, schätzt Forescout, dass allein in dieser Gruppe mindestens 100 Millionen Geräte von den NAME:WRECK-Schwachstellen betroffen sind.

Um sich vor NAME:WRECK-Fehlern zu schützen, müssen Patches auf Geräten, die die anfälligen Versionen der TCP/IP-Stacks verwenden, installiert werden. Forescout weist darauf hin, dass die vier Stacks kürzlich korrigiert wurden. Es werde von den jeweiligen Anbietern der Gerätetypen, die sie verwenden, erwartet, dass diese ebenfalls eigene Updates bereitstellen.

Mit Ausnahme von IPnet wurden bereits Patches für FreeBSD, Nucleus NET und NetX veröffentlicht. So müssen die Hersteller ihren Kunden aktualisierte Firmware zur Verfügung stellen.

Die Installation von Patches lässt sich jedoch nicht immer in die Praxis umsetzen – zum Beispiel, wenn IoT-Geräte an schwer zugänglichen Stellen installiert sind. In diesen Fällen schlägt Forescout vor, Abhilfemaßnahmen zu ergreifen: Der erste Schritt ist die Identifizierung der Geräte, die die verwundbaren TCP/IP-Stacks verwenden. Forescout selbst hat ein Open-Source-Skript veröffentlicht, das solche Geräte erkennt. Der nächste Schritt ist die Einführung von Segmentierungskontrollen zur Risikominderung und die Einschränkung externer Kommunikationswege. Alternativ können anfällige Geräte isoliert werden, bis sie mit Patches repariert werden können. Eine weitere Maßnahme besteht darin, anfällige Geräte so zu konfigurieren, dass sie nach Möglichkeit nur auf interne DNS-Server zurückgreifen. Zudem sollte der externe DNS-Verkehr genau überwacht werden, da potenzielle Eindringlinge von bösartigen DNS-Servern abhängig sind. Auch die Netzwerküberwachung von Paketen, die versuchen solche Schwachstellen auszunutzen, stellt eine Lösung dar.

Ähnliche Vorgehensweisen wie bei NAME:WRECK sind auch für andere TCP/IP-Stacks, die noch nicht analysiert wurden, nicht auszuschließen. Die Forscher haben jedoch bisher keine Hinweise darauf gefunden, dass Angreifer diese Schwachstellen aktiv ausnutzen.

NAME:WRECK ist der dritte Bericht von PROJECT:MEMORIA, das im Jahr 2020 von Forescout ins Leben gerufen wurde, um Schwachstellen im TCP/IP-Stack zu identifizieren. Die vorherigen Ausgaben sind AMNESIA:33 und NUMBER:JACK.

Eine positive Erkenntnis des Berichts ist jedoch, dass es Möglichkeiten gibt, potenzielle Angreifer zu identifizieren.

Zunächst einmal hat Forescout ein Open-Source-Skript veröffentlicht, um Geräte zu erkennen, auf denen die betroffenen Stacks laufen. Darüber hinaus empfehlen die Forscher bis zur Installation der Patches Netzwerksegmentierungskontrollen zu erzwingen. Zudem sollte der gesamte Netzwerkverkehr auf bösartige Pakete überwacht werden, die versuchen, die Schwachstellen auszunutzen, indem sie DNS-, mDNS- und DHCP-Clients ins Visier nehmen.