Neue NAME:WRECK-Schwachstellen betreffen fast 100 Millionen IoT-Geräte

Cyber Security News

Sicherheitsforscher haben neun Schwachstellen in vier TCP/IP-Stacks entdeckt, die mehr als 100 Millionen Geräte von Privatanwendern und Unternehmen betreffen und von einem Angreifer ausgenutzt werden könnten, um die Kontrolle über ein verwundbares System zu übernehmen.

Die von Forescout und JSOF als “NAME:WRECK” bezeichneten Schwachstellen sind die jüngsten in einer Reihe von Untersuchungen, die im Rahmen einer Initiative namens Project Memoria durchgeführt wurden, um die Sicherheit von weit verbreiteten TCP/IP-Stacks zu untersuchen, die von verschiedenen Herstellern in ihre Firmware integriert werden, um Internet- und Netzwerkverbindungsfunktionen anzubieten.

“Diese Schwachstellen beziehen sich auf Domain Name System (DNS)-Implementierungen, die entweder Denial of Service (DoS) oder Remote Code Execution (RCE) verursachen und es Angreifern ermöglichen, Zielgeräte offline zu nehmen oder die Kontrolle über sie zu übernehmen”, so die Forscher.

Der Name leitet sich von der Tatsache ab, dass das Parsen von Domain-Namen DNS-Implementierungen in TCP/IP-Stacks zerstören kann, was zu einem jüngsten Anstieg von Schwachstellen wie SigRed, SAD DNS und DNSpooq führt, die das “Telefonbuch des Internets” als Angriffsvektor nutzen.

[Blocked Image: https://thehackernews.com/images/-CTf1MSwldzQ/YGXEz6LA-PI/AAAAAAAA3uc/rCPCs1B8hBI5fgrMcRZGit_0hHWFhVsBQCLcBGAsYHQ/s728-e100/thn-728-3.png]

Sie markieren auch das fünfte Mal, dass Sicherheitsschwächen in den Protokollstapeln, die Millionen von mit dem Internet verbundenen Geräten zugrunde liegen, identifiziert wurden – URGENT/11 Restwelligkeit20 AMNESIA:33, und ZIFFER:JACK

Konkret bietet die neueste Untersuchung einen genaueren Blick auf das im DNS-Protokoll verwendete Schema der “Nachrichtenkomprimierung”, das “die Wiederholung von Domänennamen in einer Nachricht eliminiert”, mit der Absicht, die Größe der Nachrichten zu reduzieren. Dabei wurden mehrere Schwachstellen in den Stacks von FreeBSD (12.1), IPnet (VxWorks 6.6), Nucleus NET (4.3) und NetX (6.0.1) aufgedeckt.

[Blocked Image: https://thehackernews.com/images/-QaNCvr2u_h0/YHWLnbMyy2I/AAAAAAAACQg/vOrgNOif3R8LMGRJy2SZa9xi9sWrciv9QCLcBGAsYHQ/s0/iot-hack.jpg]

In einem plausiblen realen Angriffsszenario können Angreifer diese Schwachstellen ausnutzen, um über ein internetfähiges Gerät, das DNS-Anfragen an einen Server stellt, in das Netzwerk einer Organisation einzudringen und sensible Informationen zu exfiltrieren oder sie sogar als Sprungbrett zu nutzen, um kritische Geräte zu sabotieren.

Mit Ausnahme von IPnet haben FreeBSD, Nucleus NET und NetX alle Patches veröffentlicht, so dass Gerätehersteller, die verwundbare Versionen der Software verwenden, eine aktualisierte Firmware an ihre Kunden ausliefern müssen.

Aber wie bei den vorherigen Schwachstellen gibt es mehrere Hürden bei der Anwendung der Fixes, was mit dem Mangel an Informationen über den TCP/IP-Stack, der auf einem Gerät läuft, die Schwierigkeit bei der Bereitstellung von Patches, weil die Geräte nicht zentral verwaltet werden, oder sie können nicht offline genommen werden aufgrund ihrer zentralen Rolle in geschäftskritischen Prozessen wie Gesundheitswesen und industrielle Steuerungssysteme.

[Blocked Image: https://thehackernews.com/images/-bvTgvb1scMU/YGXEzvWWDTI/AAAAAAAA3uU/FkCk24WAH8gQPV-lbOs4cDw_tp2ug151QCLcBGAsYHQ/s728-e100/thn-728-1.png]

Mit anderen Worten: Abgesehen von dem Aufwand, der erforderlich ist, um alle verwundbaren Geräte zu identifizieren, könnte es eine beträchtliche Zeit dauern, bis die Sicherheits-Patches vom Stack-Anbieter in die Firmware des Geräts einfließen.

Noch schlimmer ist, dass es in einigen Fällen möglicherweise nie möglich ist, einen Patch zu veröffentlichen, wodurch viele der betroffenen Geräte höchstwahrscheinlich noch jahrelang oder bis zu ihrer Außerbetriebnahme für Angriffe anfällig bleiben werden.

Während eine schnelle Lösung nicht in Sicht ist, besteht der Lichtblick in den Ergebnissen darin, dass es Abschwächungen gibt, die es leichter machen, Versuche zu erkennen, diese Schwachstellen auszunutzen. Zunächst einmal hat Forescout ein Open-Source-Skript veröffentlicht, um Geräte zu erkennen, auf denen die betroffenen Stacks laufen. Darüber hinaus empfehlen die Forscher, Netzwerksegmentierungskontrollen zu erzwingen, bis die Patches installiert sind, und den gesamten Netzwerkverkehr auf bösartige Pakete zu überwachen, die versuchen, die Schwachstellen bei DNS-, mDNS- und DHCP-Clients auszunutzen.

Die Studie soll auch auf der Konferenz Black Hat Asia 2021 am 6. Mai 2021 vorgestellt werden.

“NAME:WRECK ist ein Fall, in dem schlechte Implementierungen eines bestimmten Teils eines RFCs katastrophale Folgen haben können, die sich über verschiedene Teile eines TCP/IP-Stacks und dann verschiedene Produkte, die diesen Stack verwenden, ausbreiten”, so die Forscher.

“Interessant ist auch, dass die einfache Nicht-Implementierung von Komprimierungsunterstützung (wie z. B. in lwIP) eine wirksame Abschwächung gegen diese Art von Schwachstelle darstellt. Da die Bandbreiteneinsparung, die mit dieser Art von Kompression verbunden ist, in einer Welt der schnellen Verbindungen fast bedeutungslos ist, glauben wir, dass die Unterstützung für DNS-Nachrichtenkompression derzeit mehr Probleme einführt als sie löst.”

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com