Categories: Sicherheit

Amnesia:33: TCP/IP-Schwachstellen gefährden Millionen internetfähige Geräte

Sicherheitsforscher haben Details zu 33 Anfälligkeiten in vier Open-Source-TCP/IP-Bibliotheken veröffentlicht. Sie werden in der Gerätesoftware von Produkten von mehr als 150 Anbietern eingesetzt. Als Folge sind Nutzer von Millionen von internetfähigen Geräten für Verbraucher und Industrie den als Amnesia:33 bezeichneten Schwachstellen ausgesetzt.

Entdeckt wurden die Sicherheitslücken von Forschern des Sicherheitsanbieters Forescout. Sie fanden die Bugs unter anderem in Routern, Switches, Druckern, Smartphones, Spielkonsolen, RFID-Trackern, IP-Kameras, unterbrechungsfreie Stromversorgungen und Sensoren. Betroffen sind die TCP/IP-Bibliotheken uIP, FNET, picoTCP und Nut/Net.

Gerätehersteller integrieren die Bibliotheken in ihre Firmware, damit ihre Produkte das Netzwerkprotokoll TCP/IP unterstützen. Laut Forescout sind die Anfälligkeiten für Denial-of-Service-Angriffe, den Diebstahl von Informationen, DNS-Cache-Poisoning-Attacken und sogar das Einschleusen und Ausführen von Schadcode aus der Ferne geeignet. Welche Schwachstelle wie ausgenutzt werden kann ist den Forschern zufolge allerdings auch vom Einsatzgebiet des anfälligen Geräts abhängig.

Die Schwachstellen waren das Ergebnis einer systematischen Fehlersuche bei insgesamt sieben TCP/IP-Stacks. Auslöser waren die im vergangenen Jahr aufgestöberten Schwachstellen im TCP/IP-Stack Treck, die als Ripple20 bezeichnet wurden. Die Forscher vermuteten, dass auch andere Bibliotheken fehlerhaft sein könnten. Tatsächlich fanden sie aber in den Stacks IwIP, uC/TCP-IP und CycloneTCP keine Anfälligkeiten.

Wie bei Ripple20 ist das eigentliche Problem nicht die Entwicklung von Patches, sondern deren Verteilung an die Endgeräte. Nicht alle betroffenen Produktgruppen wie Smartphones und Router ermöglichen beispielsweise ein Update Over-the-Air. Viele Geräte lassen sich nur manuell aktualisieren, wobei häufig gerade Verbraucher mit diesem Verfahren nicht vertraut sind. Andere Geräte verfügen hingegen nicht über eine Option zur Aktualisierung der Gerätesoftware.

Ein anderes Problem ist den Forschern zufolge, dass Nutzer, also auch Unternehmen, gar nicht wissen, welche Software auf den von ihnen eingesetzten Geräten läuft. Von daher könnten Nutzer nicht einmal selbst herausfinden, ob ihre Geräte angreifbar sind.

Für die Fehler machte Forescout unter anderem mangelhafte Programmiertechniken verantwortlich. Unter anderem sollen die Entwickler selbst auf einfache Prüfungen von Eingabewerten verzichtet haben. Alles Details ihre Untersuchung halten die Forscher in einem 47-seitigen PDF-Dokument bereit.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

3 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago