Code-Mängel in neun TCP/IP-Stacks, die vor allem im IoT-Bereich genutzt werden, eröffnen Spoofing-, Hijacking- und Denial-of-Service-Angriffsmöglichkeiten.
(Bild: Forescout)
Security Von
- Olivia von Westernhagen
Das Forscherteam des Unternehmens Forescout, das im Dezember vergangenen Jahres die "Amnesia:33"-Schwachstellen vorstellte, hat neun weitere Schwachstellen in verschiedenen TCP/IP-Stack-Implementierungen entdeckt. Die neue, auf den Namen "NUMBER:JACK" getaufte Schwachstellen-Sammlung basiert durchweg auf Programmierfehlern und -mängeln im Code, der für die Generierung initialer TCP-Sequenznummern (Initial Sequence Numbers, ISNs) zuständig ist.
Bis auf eine "Medium"-Ausnahme wurden die Schwachstellen jeweils mit einem CVSS-Score von 7.5 ("High") bewertet. In einigen Fällen gibt es aktualisierten Stack-Code und Updates für SDKs.
Vorhersagbare ISNs als Angriffsvektor
Sequenznummern sollen beim TCP-Protokoll sicherstellen, dass Datenpakete vollständig, in der richtigen Reihenfolge und ohne Dopplungen beim Empfänger ankommen. Die initiale und später je Datenpaket inkrementierte Sequenznummer wird im Zuge des Verbindungsaufbaus zwischen den Kommunikationspartnern ausgetauscht und muss möglichst zufällig sein.
Kann man ISNs dank Schwachstellen "erraten", eröffnet dies verschiedene Angriffsmöglichkeiten auf bestehende TCP-Verbindungen: Angreifer könnten sich etwa unbemerkt einklinken, um eigene Datenpakete einzuschmuggeln (Session Hijacking) oder um Verbindungen im Zuge eines Denial-of-Service-Angriffs schlicht zu beenden. Darüber hinaus wäre mit NUMBER:JACK auch der erfolgreiche Aufbau neuer, vermeintlich vertrauenswürdiger Verbindungen denkbar (TCP-Spoofing).
Details zu den einzelnen Schwachstellen sind einem Blogeintrag von Forescout zu NUMBER:JACK zu entnehmen. Ein ausführlicher NUMBER:JACK-Report liefert weiterführende Informationen zu den Analysen der Forscher.
Updates und weitere Informationen
Betroffen sind neun von insgesamt 11 untersuchten Stacks, wobei diesmal zusätzlich zu den sieben bereits im Zuge von Amnesia:33 untersuchten Open-Source-Implementierungen noch vier weitere unter die Lupe genommen wurden: MPLAB Net von Microchip, NDKTCPIP von Texas Instruments, Nanostack von ARM sowie Nucleus NET von Siemens.
In folgenden Stacks wurden dabei Schwachstellen gefunden, die dafür sorgen, dass ISNs unzureichend zufällig oder dank der Verwendung bestimmter Komponenten nachvollziehbar ("reversible") sind:
- CycloneTCP 1.9.6: CVE-2020-27631; gepatcht in Version 2.0.0
- FNET 4.6.3 : CVE-2020-27633; bislang kein Patch
- MPLAB Net 3.6.1: CVE-2020-27636; gepatcht in Version 3.6.4
- NDKTCPIP 2.25: CVE-2020-27632; gepatcht ab Version 7.02 des Processor SDK
- Nucleus NET 4.3: CVE-2020-28388 (einzige Medium-Einstufung); gepatcht in Nucleus NET 5.2 und Nucleus ReadyStart V2012.12
- Nut/Net 5.1: CVE-2020-27213; am Patch wird noch gearbeitet
- PicoTCP 1.7.0, PicoTCP-NG: CVE-2020-27635; fehlerhafte Default-Implementierung ab Version 2.1 entfernt; Nutzer sollen eigenen PRNG (pseudorandom number generator) verwenden
- uC/TCP-IP 3.6.0: CVE-2020-27630; das Projekt wurde eingestellt, das Nachfolgeprojekt Micrium OS ist laut Forescout in der aktuellen Version abgesichert
- uIP 1.0, Contiki-OS 3.0, Contiki-NG 4.5: CVE-2020-27634; kein Patch (und keine Reaktion von den Entwicklern)
Die Versionsangaben am Anfang beziehen sich jeweils auf die von den Forschern analysierten Ausgaben; verwundbar dürften aber jeweils auch alle übrigen Versionen sein, die den mangelhaften ISN-Generator-Code enthalten.
Lesen Sie auch
"Patch when possible"
Im Zuge der Untersuchungen rund um NUMBER:JACK hat sich Forescout laut Blogeintrag nicht bemüht, konkrete betroffene Hersteller und Produkte zu identifizieren. Bei Amnesia:33 hatte das Team vor dem Problem gestanden, dass der Open-Source-Code der Stacks immer wieder geforkt, verändert und in verschiedenen Varianten implementiert worden war, was die Eingrenzung extrem schwierig machte. Zusätzlich wurde sie dadurch erschwert, dass manchem Gerätehersteller wohl gar nicht zwingend bewusst war, dass zugekaufte Komponenten von Drittherstellern den verwundbaren Code nutzten.
Wie auch bei Amnesia (und davor bei Ripple20) dürfte es sich beim Gros der diesmal betroffenen Produkte jedoch wieder um Internet-of-Things-Geräte handeln; hinzu kommen einige Geräte aus dem IT- und OT (Operational Technology)-Bereich. Endanwender sind erst dann geschützt, wenn die Aktualisierungen in Stacks und SDKs mittels Updates der Produkthersteller bei ihnen angekommen sind. Viele billige No-Name-Produkte aus der IoT-Sparte erhalten aber überhaupt keine Aktualisierungen.
"Patch when possible", rät Forescout denn auch folgerichtig im Blogeintrag; "if" wäre möglicherweise noch passender gewesen. Das Unternehmen empfiehlt zudem, IoT-Geräte in einem separaten Netzwerk unterzubringen und den Zugriff von außen etwa nur via VPN zu erlauben. Und es hat ein Open-Source-Tool veröffentlicht, das dabei helfen soll, verwundbare-Stack-Implementierungen auf eigenen Geräten aufzuspüren.
Lesen Sie auch
(ovw)
Quelle: www.heise.de