Die im Juni 2020 von Ripple20 betroffene TCP/IP-Implementierung weist weitere, neu entdeckte Sicherheitslücken auf. Ausgenutzt wurden die bislang (noch) nicht.
(Bild: Outflow_Designs / Shutterstock.com)
Security Von
- Olivia von Westernhagen
Forscher von Intel haben vier Sicherheitslücken im (Closed-Source-)TCP/IP-Stack der Firma Treck entdeckt – jenem Stack, der im Juni dieses Jahres von der 19 Lücken umfassenden Sammlung "Ripple20" betroffen war. Zwei der neuen Lückenfunde gelten als kritisch: Entfernte, unauthentifizierte Angreifer könnten sie missbrauchen, um verwundbare Systeme per Denial-of-Service-Angriff lahmzulegen oder beliebigen Programmcode darauf auszuführen. Den beiden anderen Lücken wurden "Low"- beziehungsweise "Medium"-Einstufungen zugewiesen.
Der TCP/IP-Stack von Treck ist für Embedded Geräte optimiert und wird etwa von Firmen wie HP, Intel, Schneider Electric, Rockwell Automation und vielen anderen genutzt. Die Einsatzbereiche sind vielfältig und reichen von Smart-Home- und vernetzten Bürokomponenten über medizinische Geräte bis hin zu industriellen Steuerungssystemen.
Treck hat die Lücken bestätigt und ein Update veröffentlicht. Bislang ist (noch) kein öffentlich verfügbarer Exploit-Code für die Lücken aufgetaucht, aktive Angriffe wurden nicht beobachtet. Die Angriffskomplexität für die kritischen Lücken wird allerdings als niedrig eingestuft.
Lesen Sie auch
Betroffene Stacks und Updates
Die Sicherheitslücken CVE-2020-25066, CVE-2020-27337, CVE-2020-27338 und CVE-2020-27336 (CVSS-Scores 9.8, 9.1, 5.9, 3.7) stecken im HTTP-Server-, im IPv6- und im DHCPv6-Code aller Stack-Versionen bis einschließlich 6.0.1.67. Ein separat veröffentlicher Sicherheitshinweis der US-Behörde CISA weist darauf hin, dass der Treck TCP/IP-Stack auch unter anderen Namen verwendet wird und nennt als Beispiele Kasago TCP/IP, ELMIC, Net+ OS, Quadnet, GHNET v2, Kwiknet und AMX.
Stacks ab Version 6.0.1.68 sind laut CISA abgesichert; Hersteller verwundbarer Produkte können wegen Patches per E-Mail bei Treck anfragen.
Weitere Informationen
Endnutzer erfahren in der Regel nur dann von der Verwundbarkeit ihrer Geräte, wenn die Hersteller darüber informieren und Updates bereitstellen. Als Anhaltspunkt können die CVE-IDs helfen, die betreffenden Patches den Lücken zuzuordnen. Allerdings dürften viele Nutzer wohl vergeblich Ausschau halten: Für viele (Billig-)Geräte sind schlicht keine Updates und Update-Mechanismen vorgesehen. In anderen Fällen dauert es eine ganze Weile bis zur Verteilung.
Treck rät Nutzern mit fehlenden Update-Möglichkeiten, mittels Firewall-Regeln HTTP-Pakete zu blocken, die im Headerfeld "Content-Length" einen negativen Wert aufweisen. Einen allgemeineren Hinweis, mit dem Otto-Normalverbraucher wohl mehr anfangen kann, liefert die CISA – nämlich den, die Zugriffsmöglichkeiten auf potenziell verwundbare Geräte über das Internet möglichst zu minimieren und im Zweifel eine sichere Verbindung etwa via VPN zu nutzen.
Lesen Sie auch
Quelle: www.heise.de