Eine Reihe teils kritischer Sicherheitslücken in einer TCP/IP-Implementierung gefährdet nach einem Bericht von Heise online die Geräte in Haushalten, Krankenhäusern und Industrieanlagen. Danach können Netzwerkpakete ein Gerät dazu bringen, beliebige Befehle auszuführen. Das für Industriesteuerungen zuständige ICS-CERT bewertet den Sachverhalt mit der maximalen Schwere von 10 in der CVSSv3-Skala.
Ein Forscherteam hat reihenweise Sicherheitslücken in einer schlanken TCP/IP-Implementierung der Firma Treck entdeckt. Diese nutzen vernetzte Steckdosen, medizinische Geräte, Sensoren industrieller Steuerungen und vieles mehr. Der TCP/IP-Stack ist die verwundbarste Stelle von Netzwerkgeräten, da er als erste Instanz alle Netzwerkdaten verarbeitet. Ein Programmierfehler an dieser Stelle führt häufig zu kritischen Sicherheitslücken.
Der TCP/IP-Stack von Treck ist für Embedded Geräte optimiert und wird etwa von Firmen wie HP, Intel, Schneider Electric, Rockwell Automation und vielen anderen genutzt. In systematischen Tests entdeckte die israelische Sicherheitsfirma JSOF gleich 19 Sicherheitslücken, zusammengefasst „Ripple20“ genannt. Bei vielen geht es darum, dass für spezielle TCP/IP-Optionen wie denen zur Fragmentierung die Längenbeschränkungen einzelner Felder nicht beachtet wird. Pufferüberläufe im Speicher haben dann etwa zur Folge, dass der Angreifer eigenen Code einschleusen und ausführen (Remote Code Execution) oder kritische Daten auslesen kann.
Der Hersteller hat die Lücken in Version 6.0.1.67 beseitigt. Die aktuell betroffenen Geräte profitieren davon allerdings nicht. Auf der Security-Seite von Treck findet sich derzeit nur eine Liste von CVE-Nummern, deren Links ins Leere zeigen. Hersteller sollen sich laut CERT/CC an die Firma Treck selbst wenden (security@treck.com). Kunden, die ein verwundbares Gerät einsetzen, sollen sich mit dessen Verkäufer in Verbindung setzen, heißt es lapidar in dem Sicherheitshinweis des CERT/CC, das den Disclosure-Vorgang koordiniert hat.
Kunden können gar nicht so leicht herausfinden, dass sie ein Problem haben. Einen Test auf Anfälligkeit gibt es bisher nach dem Bericht nicht. Als Schutz schlagen die Entdecker und CERTs vor, „anormalen IP-Verkehr“ zu blockieren. Gemeint sind damit spezifizierte TCP/IP-Funktionen wie fragmentierte Pakete, IP-Tunneling und Source Routing.
Die Entdecker der Lücken schätzen, dass „hunderte von Millionen“ Geräte verwundbar sind, vielleicht sogar Milliarden – exakte Zahlen fehlen. Diese Geräte kommen fast überall zum Einsatz: zum Beispiel in Smarthomes, Routern, Druckern, Steuerungen von Stromnetzen und Industrieanlagen, Satelliten, Flugzeugen. Viele dieser Geräte werden niemals ein Sicherheitsupdate bekommen, weil niemand daran gedacht hat, dass sie einmal ein Sicherheitsproblem haben könnten.