‘Name:Wreck’ ist die neueste Kollision zwischen TCP/IP und dem Standardisierungsprozess

Cyber Security News

(Forescout-Stand auf der #RSAC ” von sfoskett ist lizenziert unter CC BY-NC-SA 2.0)

Forescout und JSOF kündigten am Dienstag “Name:Wreck” an, eine Sammlung von neun Schwachstellen in vier populären TCP/IP-Stacks, darunter FreeBSD. Die Ergebnisse sind die neuesten Untersuchungen, die zeigen, wie die Komplexität der TCP/IP-Standards letztlich zu verwundbaren Produkten führen kann.

Forescout und JSOF haben im vergangenen Jahr mehrere Gruppen von Schwachstellen in TCP/IP-Stacks dokumentiert. Forescout entdeckte Amnesia:33 und Name:Jack und JSOF entdeckte Ripple20. Alle diese Entdeckungen beruhen ganz oder teilweise darauf, dass Anbieter und Open-Source-Projekte die Dokumente zur Beschreibung der TCP/IP-Standards, die so genannten RFCs, falsch interpretieren. Name:Wreck fügt eine zweite Ebene der Komplexität hinzu – eine verbreitete Fehlinterpretation der DNS-Standards, die Speicherzeiger und Nachrichtenkompression betreffen.

“Das RFC ist ein Archivierungssystem, was bedeutet, dass die Haupt-RFCs nicht geändert werden. Stattdessen werden Errata veröffentlicht, neue RFCs, die übereinander liegen. Wenn man sich DNS anschaut, ist das Originaldokument von 1983 und dann gibt es mehrere andere verstreute Dokumente, die über andere Möglichkeiten sprechen, Probleme zu verhindern. Einige von ihnen erwähnen die ungültigen Kompressionszeiger, die wir hier und da gefunden haben, aber nicht auf eine zentrale Art und Weise und sprechen in der Regel nicht über Sicherheit”, sagt Daniel Dos Santos, Research Manager bei Forescout.

Nach der Zählung der Forscher gab es seit dem Jahr 2000 mindestens 14 Fälle, in denen die Komprimierung von DNS-Nachrichten Schwachstellen in einer Vielzahl von Produkten verursacht hat – von Cisco IP-Telefonen im Jahr 2005 bis hin zu verschiedenen TCP/IP-Stacks, die im Rahmen von Amnesia:33 und Ripple20 entdeckt wurden.

Die Name:Wreck-Recherche fand potenzielle Remote-Code-Ausführungsfehler im Zusammenhang mit der Nachrichtenkomprimierung in verschiedenen Versionen von FreeBSD, IPNet und Nucleus Net, einen Denial-of-Service-Fehler im Zusammenhang mit der Nachrichtenkomprimierung in NetX sowie eine Reihe ergänzender Remote-Execution-, DNS-Cache-Poisoning- und Denial-of-Service-Fehler in Nucleus, die mit anderen Faktoren rund um DNS zusammenhängen.

Die IPNet-Schwachstelle war bereits früher gemeldet und in späteren Versionen des Produkts behoben worden. Allerdings war sie nie öffentlich bekannt gegeben oder mit einer CVE-Nummer versehen worden. Bei einem TCP/IP-Stack, bei dem verschiedene Anbieter den Stack implementieren und das neue Produkt dann selbst pflegen, kann laut Dos Santos die fehlende Transparenz ein Problem sein.

“Wir wissen eigentlich nicht, wer gepatcht ist und wer nicht, und das ist eines der Probleme mit dem Patchen ohne Ausgabe der CVE-ID”, sagte er.

Als Teil der Bemühungen, die im Bericht beschriebenen Probleme zu entschärfen, schreiben JSOF und Forescout einen eigenen informativen RFC, um die Sicherheitsprobleme zu adressieren, die im Haupt-RFC nicht angesprochen werden. Die Hoffnung ist, einige der üblichen Ausrutscher, die zu Problemen führen, zu entschärfen. Aber, so Dos Santos, die beste Lösung könnte sein, Korrekturen an RFCs in den Originaldokumenten zuzulassen.

“Ich meine, ich möchte nicht derjenige sein, der den [Internet Engineering Task Force] wie sie ihre Arbeit machen sollen. Die Dinge haben mehr als 40 Jahre lang im Internet aufgrund der RFC-Systeme funktioniert”, sagte er. “Aber in der Tat glaube ich, dass es an der Zeit ist, dass wir über eine Alternative nachdenken.”

Die Industrie sollte einige der “Protokolle, die jeder benutzt, mit einem feinzahnigen Kamm überprüfen und entweder neue Versionen erstellen, bei denen Sicherheitsüberlegungen nicht mit neuen Dokumenten verstreut sind, sondern in dem Dokument stehen, das die Leute sich ansehen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com