Categories: Sicherheit

Amnesia:33: TCP/IP-Schwachstellen gefährden Millionen internetfähige Geräte

Sicherheitsforscher haben Details zu 33 Anfälligkeiten in vier Open-Source-TCP/IP-Bibliotheken veröffentlicht. Sie werden in der Gerätesoftware von Produkten von mehr als 150 Anbietern eingesetzt. Als Folge sind Nutzer von Millionen von internetfähigen Geräten für Verbraucher und Industrie den als Amnesia:33 bezeichneten Schwachstellen ausgesetzt.

Entdeckt wurden die Sicherheitslücken von Forschern des Sicherheitsanbieters Forescout. Sie fanden die Bugs unter anderem in Routern, Switches, Druckern, Smartphones, Spielkonsolen, RFID-Trackern, IP-Kameras, unterbrechungsfreie Stromversorgungen und Sensoren. Betroffen sind die TCP/IP-Bibliotheken uIP, FNET, picoTCP und Nut/Net.

Gerätehersteller integrieren die Bibliotheken in ihre Firmware, damit ihre Produkte das Netzwerkprotokoll TCP/IP unterstützen. Laut Forescout sind die Anfälligkeiten für Denial-of-Service-Angriffe, den Diebstahl von Informationen, DNS-Cache-Poisoning-Attacken und sogar das Einschleusen und Ausführen von Schadcode aus der Ferne geeignet. Welche Schwachstelle wie ausgenutzt werden kann ist den Forschern zufolge allerdings auch vom Einsatzgebiet des anfälligen Geräts abhängig.

Die Schwachstellen waren das Ergebnis einer systematischen Fehlersuche bei insgesamt sieben TCP/IP-Stacks. Auslöser waren die im vergangenen Jahr aufgestöberten Schwachstellen im TCP/IP-Stack Treck, die als Ripple20 bezeichnet wurden. Die Forscher vermuteten, dass auch andere Bibliotheken fehlerhaft sein könnten. Tatsächlich fanden sie aber in den Stacks IwIP, uC/TCP-IP und CycloneTCP keine Anfälligkeiten.

Wie bei Ripple20 ist das eigentliche Problem nicht die Entwicklung von Patches, sondern deren Verteilung an die Endgeräte. Nicht alle betroffenen Produktgruppen wie Smartphones und Router ermöglichen beispielsweise ein Update Over-the-Air. Viele Geräte lassen sich nur manuell aktualisieren, wobei häufig gerade Verbraucher mit diesem Verfahren nicht vertraut sind. Andere Geräte verfügen hingegen nicht über eine Option zur Aktualisierung der Gerätesoftware.

Ein anderes Problem ist den Forschern zufolge, dass Nutzer, also auch Unternehmen, gar nicht wissen, welche Software auf den von ihnen eingesetzten Geräten läuft. Von daher könnten Nutzer nicht einmal selbst herausfinden, ob ihre Geräte angreifbar sind.

Für die Fehler machte Forescout unter anderem mangelhafte Programmiertechniken verantwortlich. Unter anderem sollen die Entwickler selbst auf einfache Prüfungen von Eingabewerten verzichtet haben. Alles Details ihre Untersuchung halten die Forscher in einem 47-seitigen PDF-Dokument bereit.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Stunde ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

5 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

6 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

6 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

7 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

9 Stunden ago