{"id":1662,"date":"2021-06-30T08:36:10","date_gmt":"2021-06-30T08:36:10","guid":{"rendered":"https:\/\/network-king.net\/tcp-ip-schwachstellen-bedrohen-iot-geraete\/"},"modified":"2022-03-23T08:21:43","modified_gmt":"2022-03-23T08:21:43","slug":"tcp-ip-schwachstellen-bedrohen-iot-geraete","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/tcp-ip-schwachstellen-bedrohen-iot-geraete\/","title":{"rendered":"TCP\/IP-Schwachstellen bedrohen IoT-Ger\u00e4te"},"content":{"rendered":"\n

Forescout hat bekanntgegeben, dass in FreeBSD und drei weiteren f\u00fcr das IoT konzipierten Betriebssystemen eine Reihe von TCP\/IP-Schwachstellen existieren: Nucleus NET, IPNEt und NetX. Diese neun Schwachstellen k\u00f6nnten potenziell 100 Millionen IoT-Ger\u00e4te betreffen.<\/p>\n\n

Die Sicherheitsforscher von Forescout nennen diese Schwachstellen „NAME: WRECK“, da sie das Domain Name System (DNS) Protokoll betreffen. Namensgebend war die Tatsache, dass das Parsen von Domain-Namen DNS-Implementierungen in TCP\/IP zerst\u00f6ren kann.<\/p>\n\n

Laut den Forescout-Forschern stehen sie im Zusammenhang mit der Art und Weise, wie DNS-Protokolle ausgef\u00fchrt werden. Sie k\u00f6nnen den Weg f\u00fcr Denial of Service (DoS)-Angriffe oder Remote-Code-Ausf\u00fchrung ebnen. So gelingt es, potenziellen Angreifern, die Zielsysteme zum Abschalten zu bringen oder die Kontrolle \u00fcber sie zu \u00fcbernehmen.<\/p>\n\n

DNS ist ein komplexes Protokoll, das dazu neigt, anf\u00e4llige Implementierungen hervorzubringen. Diese Schwachstellen werden oft von externen Angreifern ausgenutzt, um die Kontrolle \u00fcber Millionen von Ger\u00e4ten gleichzeitig zu \u00fcbernehmen.<\/p>\n\n

Konkret bietet der Bericht einen genaueren Blick auf das im DNS-Protokoll verwendete Schema der \u201eNachrichtenkomprimierung“. Dies eliminiert \u201edie Wiederholung von Dom\u00e4nennamen in einer Nachricht\u201c, um die Gr\u00f6\u00dfe der Nachrichten zu reduzieren.<\/p>\n\n

\"\"<\/figure><\/div>\n\n

Wenn man die FreeBSD-, Nucleus NET- und NetX-Stacks betrachtet, sind laut Forescout das Gesundheits- und Regierungswesen am st\u00e4rksten betroffen. Nimmt man an, dass nur 1 Prozent der mehr als 10 Milliarden Installationen anf\u00e4llig sind, sch\u00e4tzt Forescout, dass allein in dieser Gruppe mindestens 100 Millionen Ger\u00e4te von den NAME:WRECK-Schwachstellen betroffen sind.<\/p>\n\n

Um sich vor NAME:WRECK-Fehlern zu sch\u00fctzen, m\u00fcssen Patches auf Ger\u00e4ten, die die anf\u00e4lligen Versionen der TCP\/IP-Stacks verwenden, installiert werden. Forescout weist darauf hin, dass die vier Stacks k\u00fcrzlich korrigiert wurden. Es werde von den jeweiligen Anbietern der Ger\u00e4tetypen, die sie verwenden, erwartet, dass diese ebenfalls eigene Updates bereitstellen.<\/p>\n\n

Mit Ausnahme von IPnet wurden bereits Patches f\u00fcr FreeBSD, Nucleus NET und NetX ver\u00f6ffentlicht. So m\u00fcssen die Hersteller ihren Kunden aktualisierte Firmware zur Verf\u00fcgung stellen.<\/p>\n\n

Die Installation von Patches l\u00e4sst sich jedoch nicht immer in die Praxis umsetzen \u2013 zum Beispiel, wenn IoT-Ger\u00e4te an schwer zug\u00e4nglichen Stellen installiert sind. In diesen F\u00e4llen schl\u00e4gt Forescout vor, Abhilfema\u00dfnahmen zu ergreifen: Der erste Schritt ist die Identifizierung der Ger\u00e4te, die die verwundbaren TCP\/IP-Stacks verwenden. Forescout selbst hat ein Open-Source-Skript ver\u00f6ffentlicht, das solche Ger\u00e4te erkennt. Der n\u00e4chste Schritt ist die Einf\u00fchrung von Segmentierungskontrollen zur Risikominderung und die Einschr\u00e4nkung externer Kommunikationswege. Alternativ k\u00f6nnen anf\u00e4llige Ger\u00e4te isoliert werden, bis sie mit Patches repariert werden k\u00f6nnen. Eine weitere Ma\u00dfnahme besteht darin, anf\u00e4llige Ger\u00e4te so zu konfigurieren, dass sie nach M\u00f6glichkeit nur auf interne DNS-Server zur\u00fcckgreifen. Zudem sollte der externe DNS-Verkehr genau \u00fcberwacht werden, da potenzielle Eindringlinge von b\u00f6sartigen DNS-Servern abh\u00e4ngig sind. Auch die Netzwerk\u00fcberwachung von Paketen, die versuchen solche Schwachstellen auszunutzen, stellt eine L\u00f6sung dar.<\/p>\n\n

\u00c4hnliche Vorgehensweisen wie bei NAME:WRECK sind auch f\u00fcr andere TCP\/IP-Stacks, die noch nicht analysiert wurden, nicht auszuschlie\u00dfen. Die Forscher haben jedoch bisher keine Hinweise darauf gefunden, dass Angreifer diese Schwachstellen aktiv ausnutzen.<\/p>\n\n

NAME:WRECK ist der dritte Bericht von PROJECT:MEMORIA, das im Jahr 2020 von Forescout ins Leben gerufen wurde, um Schwachstellen im TCP\/IP-Stack zu identifizieren. Die vorherigen Ausgaben sind AMNESIA:33 und NUMBER:JACK.<\/p>\n\n

Eine positive Erkenntnis des Berichts ist jedoch, dass es M\u00f6glichkeiten gibt, potenzielle Angreifer zu identifizieren.<\/p>\n\n

Zun\u00e4chst einmal hat Forescout ein Open-Source-Skript ver\u00f6ffentlicht, um Ger\u00e4te zu erkennen, auf denen die betroffenen Stacks laufen. Dar\u00fcber hinaus empfehlen die Forscher bis zur Installation der Patches Netzwerksegmentierungskontrollen zu erzwingen. Zudem sollte der gesamte Netzwerkverkehr auf b\u00f6sartige Pakete \u00fcberwacht werden, die versuchen, die Schwachstellen auszunutzen, indem sie DNS-, mDNS- und DHCP-Clients ins Visier nehmen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Forescout hat bekanntgegeben, dass in FreeBSD und drei weiteren f\u00fcr das IoT konzipierten Betriebssystemen eine Reihe von TCP\/IP-Schwachstellen existieren: Nucleus NET, IPNEt und NetX. Diese neun Schwachstellen k\u00f6nnten potenziell 100 Millionen IoT-Ger\u00e4te betreffen. Die Sicherheitsforscher von Forescout nennen diese Schwachstellen „NAME: WRECK“, da sie das Domain Name System (DNS) Protokoll betreffen. Namensgebend war die Tatsache,…<\/p>\n","protected":false},"featured_media":1663,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[49],"tags":[],"company":[],"topic":[],"class_list":["post-1662","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-iot"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/1662","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=1662"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/1663"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=1662"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=1662"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=1662"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=1662"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=1662"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=1662"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}