Das israelische JSOF-Forschungslabor hat eine Reihe von Zero-Day-Schwachstellen in einer weit verbreiteten Low-Level-TCP/IP-Softwarebibliothek von Treck entdeckt. Die 19 Schwachstellen mit dem Namen Ripple20 betreffen laut der JSOF-Forscher Hunderte von Millionen Geräten (oder mehr) und umfassen mehrere Schwachstellen bei Remote Code Execution, also dem Ausführen von Code aus der Ferne.
Die mit dieser Situation verbundenen Risiken sehen die Forscher als hoch an. Hier einige Beispiele: Daten könnten aus einem Drucker gestohlen werden, das Verhalten einer Infusionspumpe könnte sich ändern oder industrielle Steuergeräte könnten zu Fehlfunktionen gebracht werden. Ein Angreifer könnte jahrelang bösartigen Code in Embedded-Geräten verstecken. Eine der Schwachstellen ermögliche den Eintritt von außen in die Netzwerke; und dies sei nur ein kleiner Vorgeschmack auf die potenziellen Risiken. Entsprechend bewertet das für Industriesteuerungen zuständige ICS-CERT den Vorfall mit dem Höchstwert von 10 Punkten in der CVSSv3-Skala (Common Vulnerability Scoring System); es handelt sich dabei um einen Industriestandard zur Bewertung des Schweregrades von möglichen oder tatsächlichen Sicherheitslücken in Computer-Systemen.
Lesen Sie auch: ICS-CERT entdeckt 509 Schwachstellen in industriellen Steuerungssystemen
Video: Forscher zeigen mögliche konsequenzen von ripple 20
Unglaubliche Ausmaße bei Ripple 20
Der Ripple-Effekt
Ein Ripple-Effekt ist eine Situation, in der ein Effekt aus einem Anfangszustand schrittweise nach außen verfolgt werden kann, ähnlich wie Wellen, die sich über das Wasser ausbreiten, wenn ein Gegenstand in das Wasser fällt.
Das Erschreckende an Ripple20 sei das unglaubliche Ausmaß seiner Auswirkungen, die durch den Lieferkettenfaktor noch verstärkt werde. Die weite Verbreitung der Software-Bibliothek (und ihrer internen Schwachstellen) war eine natürliche Folge des „Ripple-Effekts“ der Lieferkette. Eine einzelne anfällige Komponente kann sich nach außen hin ausbreiten und ein breites Spektrum von Branchen, Anwendungen, Unternehmen und Menschen beeinträchtigen.
Ripple 20 erreicht IoT-Geräte aus einer Vielzahl von Bereichen, an denen viele Anbieter beteiligt sind. Die betroffenen Unternehmen reichen von kleinen Firmen bis hin zu multinationalen Fortune-500-Unternehmen, darunter HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter sowie viele andere große internationale Anbieter, die in den Bereichen Medizin, Transport, Automation, Energie (Öl/Gas), Telekommunikation, Einzelhandel und Handel und anderen Branchen als anfällig gelten. Aktuell (Stand 18.6.2020) gibt es eine Liste von 14 Firmen, die nachweislich betroffen sind, sowie sieben, die laut eigenen Aussagen nicht betroffen sind. Allerdings gibt es weitere 60 Unternehmen, bei denen das Ergebnis noch aussteht.
Was Treck zu Ripple 20 sagt
Laut ICS-CERT empfiehlt Treck Benutzern die Anwendung der neuesten Version der betroffenen Produkte (Treck TCP/IP 6.0.1.67 oder spätere Versionen). Um Patches zu erhalten, sollen Betroffene eine E-Mail an security@treck.com schicken. Auf der Treck-Homepage findet sich lediglich ein Verweis auf den Bericht des ICS-Cert.
Anbieter, die von den gemeldeten Schwachstellen betroffen sind, haben ebenfalls Sicherheitshinweise für ihre betroffenen Produkte veröffentlicht. Links zu den Ratschlägen finden Sie unter den Weblinks unten.
(ml)