{"id":4696,"date":"2022-05-05T15:13:00","date_gmt":"2022-05-05T15:13:00","guid":{"rendered":"https:\/\/network-king.net\/iot-geraete-in-gefahr-ungefixte-bugs-in-der-uclibc-bibliothek\/"},"modified":"2022-05-12T16:15:37","modified_gmt":"2022-05-12T16:15:37","slug":"iot-geraete-in-gefahr-ungefixte-bugs-in-der-uclibc-bibliothek","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/iot-geraete-in-gefahr-ungefixte-bugs-in-der-uclibc-bibliothek\/","title":{"rendered":"IoT-Ger\u00e4te in Gefahr? Ungefixte Bugs in der uClibc-Bibliothek"},"content":{"rendered":"\n

Es gibt eine weitere Schwachstelle, die das Internet der Dinge (IoT) anf\u00e4llig f\u00fcr DNS-Poisoning-Angriffe macht. Bei diesem neuen Vorgang speisen Angreifer gef\u00e4lschte Daten ein, um den Webverkehr umzuleiten. Aufgedeckt wurde dies erst k\u00fcrzlich: von Nozomi Network Labs<\/a>. Das IoT-Sicherheitsunternehmen zeigte Probleme auf, die mit der DNS-Implementierung (Domain Name System) aller Versionen von uClibc<\/a> und uClibc-ng<\/a> zusammenhingen. Die Bibliotheken werden h\u00e4ufig von Linux-Entwicklern verwendet und sind daher auch unter IoT-Ger\u00e4ten verbreitet. uClibc-ng ist ein Zweig, der speziell f\u00fcr OpenWRT entwickelt wurde. Zudem wird das Betriebssystem vor allem von Routern verwendet, die in verschiedenen kritischen Infrastrukturen eingesetzt werden.<\/p>\n\n\n\n

Dem entdeckten Fehler liegt die Vorhersehbarkeit der Transaktions-ID zugrunde. Denn diese IDs sind als Parameter in den von der Bibliothek generierten DNS-Anfragen enthalten. Hierbei handelt es sich um eine eindeutige Kennung f\u00fcr jede vom DNS-Client generierte Anfrage. Das bedeutet auch, dass sie in der Antwort enthalten sein muss, damit diese als g\u00fcltig akzeptiert wird. Bei einem DNS-Poisoning-Angriff sind Kriminelle dazu in der Lage, den DNS-Client zu missbrauchen. Denn der Angreifer l\u00e4sst den Client eine gef\u00e4lschte Antwort akzeptieren. Auf diese Weise veranlasst er ihn dazu, die Netzwerkkommunikation mit einem beliebig definierten Endpunkt durchzuf\u00fchren \u2013 anstelle sich mit dem legitimen Endpunkt zu verbinden. Anschlie\u00dfend kann der Eindringling die \u00fcbertragenen Informationen stehlen, manipulieren oder weitere Angriffe durchf\u00fchren. Die grundlegende Frage ist daher, wie es Kriminellen gelingt, eine authentische Antwort zu erstellen.<\/p>\n\n\n\n

Nozomi Networks Labs hat die Person befragt, die f\u00fcr die Wartung der Bibliotheken zust\u00e4ndig ist<\/a>. Sie gibt an, den Fix nicht entwickeln zu k\u00f6nnen. Sie schlug stattdessen vor, Berichte \u00fcber die Sicherheitsl\u00fccke an eine eingeschr\u00e4nkte Community weiterzugeben. Diese solle dann dabei helfen, den Fehler zu beheben.<\/gwmw><\/gwmw><\/gwmw><\/p>\n\n\n\n

Millionen von IoT-Ger\u00e4ten k\u00f6nnten von diesem Fehler betroffen sein. Denn auch gro\u00dfe Anbieter wie Linksys, Netgear, Axis oder auch Linux-Distributionen wie Embedded Gentoo nutzen die uClibc- und uClibc-ng-Bibliotheken.<\/p>\n\n\n\n

Gef\u00e4hrdung von Bibliotheken durch Code-Daten<\/h2>\n\n\n\n


<\/strong>Die Verwaltung von Computerbibliotheken stellt eine gro\u00dfe Herausforderung f\u00fcr Entwickler dar. Das zeigt auch eine j\u00fcngere Studie von Veracode<\/a>, die sich ausschlie\u00dflich auf die Sicherheit dieser Bibliotheken konzentrierte. Die Umfrage beinhaltet eine Analyse von 13 Millionen Varianten aus mehr als 86 Millionen Repositorien, die mehr als 301 Millionen Bibliotheken umfassen. Und obwohl die meisten Softwarel\u00f6sungen der Gegenwart auf Datenbanken basieren, zeigt sie, dass \u201ees sich nicht um eine feste Basis handelt, sondern um eine Basis, die sich st\u00e4ndig weiterentwickelt“. Demzufolge passen sich die Entwicklungsmethoden nicht immer an die dynamische Natur der Bibliotheken an, was die Organisationen wiederum vor gro\u00dfe Herausforderungen stellt.<\/gwmw><\/gwmw><\/gwmw><\/gwmw><\/p>\n\n\n\n

Denn trotz der dynamischen Natur von Open-Source-Bibliotheken verwalten Entwickler diese nicht so intensiv. In 79 % der F\u00e4lle haben Developer die Bibliotheken von Drittanbietern nicht aktualisiert, nachdem sie diese in ihre Codebasis aufgenommen hatten.<\/p>\n\n\n\n

Doch was h\u00e4lt die Entwickler davon ab, anf\u00e4llige Open-Source-Bibliotheken zu aktualisieren? Die Umfrage von Veracode ergab, dass ein Mangel an kontextbezogenen Informationen ein Hindernis darstellt. Demnach gaben die Entwickler an, mehr Informationen zu brauchen. Ein Beispiel lautete dabei, dass sie verstehen m\u00fcssten, wie sich eine anf\u00e4llige Bibliothek auf ihre Anwendungen auswirkt. Die Entwickler machten zudem die Angaben, mehr als sieben Monate zu ben\u00f6tigen, um nur 50 % der bekannten Schwachstellen zu beheben. Entwickler, die Zugang zu den notwendigen Informationen hatten, konnten denselben Anteil an Schwachstellen dagegen in nur drei Wochen beheben.<\/p>\n\n\n\n

\"\"
Quelle: Veracode<\/figcaption><\/figure><\/div>\n\n\n\n

Nach Angaben von Veracode k\u00f6nnen Entwickler schnell handeln, wenn sie auf gef\u00e4hrdete Bibliotheken aufmerksam gemacht werden. So werden etwa 17 % der gef\u00e4hrdeten Bibliotheken innerhalb einer Stunde nach der Meldung der Sicherheitsl\u00fccke behoben; 25 % innerhalb von sieben Tagen.<\/p>\n\n\n\n

Die meisten Sicherheitsl\u00fccken in Open-Source-Anwendungen erfordern nur geringf\u00fcgige Korrekturen. Schlie\u00dflich k\u00f6nnen 92 % der Bibliotheksl\u00fccken mit einem Update behoben werden. Zudem ist f\u00fcr nur 69 % der Updates eine minimale Versions\u00e4nderung oder sogar weniger notwendig.<\/p>\n\n\n\n

Dar\u00fcber hinaus fragte die Studie die Entwickler danach, worauf sie achten, wenn sie eine neue Bibliothek einf\u00fchren wollen. Die Antworten auf diese Frage sind keineswegs \u00fcberraschend. Dementsprechend standen die Funktionen an erster Stelle, denn was ist ein gro\u00dfer Haufen Code wert, wenn er keinen Zweck erf\u00fcllt? Die zweite Antwort betraf die Lizensierung und erst an dritter Stelle folgte die Sicherheit.<\/p>\n\n\n\n

Was die Umfrage jedoch alarmierend erscheinen l\u00e4sst: die meisten Bibliotheken werden demnach nie oder nur selten aktualisiert. Denn etwa 50 % ben\u00f6tigen mehr als 21 Monate, um Aktualisierungen zu erhalten. Au\u00dferdem haben etwa 25 % selbst vier Jahre nach ihrer Installation, dem maximalen Zeithorizont der Umfrage, keine Aktualisierung erfahren.<\/gwmw><\/gwmw><\/gwmw><\/gwmw><\/gwmw><\/p>\n","protected":false},"excerpt":{"rendered":"

Es gibt eine weitere Schwachstelle, die das Internet der Dinge (IoT) anf\u00e4llig f\u00fcr DNS-Poisoning-Angriffe macht. Bei diesem neuen Vorgang speisen Angreifer gef\u00e4lschte Daten ein, um den Webverkehr umzuleiten. Aufgedeckt wurde dies erst k\u00fcrzlich: von Nozomi Network Labs. Das IoT-Sicherheitsunternehmen zeigte Probleme auf, die mit der DNS-Implementierung (Domain Name System) aller Versionen von uClibc und uClibc-ng…<\/p>\n","protected":false},"featured_media":4684,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[49],"tags":[],"company":[],"topic":[],"class_list":["post-4696","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-iot"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/4696","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=4696"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/4684"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=4696"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=4696"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=4696"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=4696"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=4696"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=4696"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}