# Ripple20 - Kritische Sicherheitslücken treffen IoT-Geräte



## Painkiller (17. Juni 2020)

Moin,

bei heise.de ist gerade ein Security-Alert aufgetaucht, in dem es um teils kritische Sicherheitslücken in einer TCP/IP-Implementierung der Firma Treck geht. Der TCP/IP-Stack von Treck ist eine Low-Level-Bibliothek, die es Geräten ermöglicht, mit dem Internet zu interagieren. Davon betroffen sind unter anderem auch sogenannte IoT-Geräte. Laut Artikel betrifft dies Embedded Geräte unterandem von HP, HPE, Intel, Schneider Electric, Rockwell Automation, Cisco und vielen anderen.

Die zwei israelischen Sicherheitsforscher Shlomi Oberman und Moshe Kol von JSOF haben nachgewiesen, da es dadurch möglich ist, eigenen Code einzuschleusen auch auch ausführen zu können. Desweiteren können kritische Daten ausgelesen werden. Im Moment sind 19 Sicherheitslücken bekannt.

Wie das in der Praxis aussehen kann, wird in diesem Video von ihnen demonstriert:




__ Youtube
				- Eingebundener Inhalt
			


__
youtube.com/watch/?v=jkfNE_Twa1s

				
				An dieser Stelle findest du externe Inhalte von Youtube. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst:
			

Alle externen Inhalte laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt. Für mehr Informationen besuche die Datenschutz-Seite.




*Was bedeutet das im Klartext bzw. was kann ein potentieller Angreifer durch diese Lücken erreichen? *

- Ein Angreifer von außerhalb des Netzwerkes, kann die Kontrolle über ein Gerät innerhalb des Netzwerkes übernehmen, wenn dieses mit dem Internet verbunden ist.

- Ein Angreifer, dem es bereits gelungen ist, in ein Netzwerk einzudringen, kann die Schwachstellen der Bibliothek nutzen, um bestimmte Geräte innerhalb des Netzwerks anzugreifen.

- Ein Angreifer könnte einen Angriff ausführen, der in der Lage ist, alle betroffenen Geräte im Netzwerk gleichzeitig zu übernehmen.

- Ein Angreifer kann das betroffene Gerät als eine Möglichkeit nutzen, sich jahrelang im Netzwerk zu verstecken.

- Ein ausgeklügelter Angreifer kann potenziell einen Angriff auf ein Gerät innerhalb des Netzwerks von außerhalb der Netzwerkgrenzen durchführen und so NAT-Konfigurationen umgehen. Dies kann durch einen MITM-Angriff (Man in the middle) oder ein dns-Cache-poisoning erfolgen.

- In einigen Szenarien kann ein Angreifer Angriffe von außerhalb des Netzwerks durchführen, indem er auf Pakete antwortet, die die Netzwerkgrenzen verlassen, und so NAT umgeht.


*Gibt es bereits Updates & wie weit verbreitet sind diese Lücken?  *

Der Hersteller Treck, hat die Lücken in der Version 6.0.1.67 beseitigt. Allerdings wird es sich schwierig gestallten, dieses Update auf die betroffenen Geräte auszurollen. Die Lage hier ist sehr unübersichtlich. Kunden, die ein betroffenens Gerät einsetzen, sollen sich an den Verkäufer/Händler wenden. Allerdings kann man als Kunde im Moment gar nicht wirklich herausfinden, ob man betroffen ist. Ein Test dafür exisitiert schlicht und ergreifend (noch) nicht.

Die Firma Treck hat in den 90ern in Zusammenarbeit mit einem japanischen  Unternehmen namens Zuken Elmic diesen TCP/IP-Stack entwickelt.
Nach Beendigung der Zusammenarbeit haben aber beide Unternehmen den  Stack unter jeweils anderen Namen an andere Hersteller lizensiert. Diese  Hersteller haben dann wiederum Unterlizenzen verteilt.

Die Sicherheitsforscher gehen in ersten Schätzungen daher davon aus, das hunderte Millionen wenn nicht gar Milliarden Geräte davon betroffen sein könnten. Als Beispiel werden folgende Geräte genannt: Smarthomes, Router, Drucker, Steuerungen von Stromnetzen und Industrieanlagen, Satelliten und Flugzeuge. Laut der Forscher sei das fatale an der Geschichte, das viele dieser Geräte niemals ein Sicherheitsupdate bekommen werden. Zitat: "Es hat schlicht niemand daran gedacht, dass diese Geräte einmal ein  Sicherheitsproblem haben könnten. Oder es wurde daran gedacht, dann  wurde festgestellt, dass das alles viel komplizierter und vor allem  teurer macht und das Problem dann doch lieber ignoriert."

Das ICS-CERT bewertet die Lücken mit der maximalen Schwere von 10 in der CVSSv3-Skala.

ZDnet liegen zudem Informationen vor, das die Sicherheitsforscher gerade mal an der Oberfläche des Ganzen gekratzt haben. Ebenfalls vermuten sie das diese Lücken dem IoT noch Jahre lang erhalten bleiben.


*Was kann ich aktiv dagegen tun?*

Im Moment nicht viel. Wie oben bereits erwähnt, sollte man sich sofern man ein betroffenes Gerät besitzt, an den Hersteller bzw. Händler wenden.

Die Experten von Kaspersky empfehlen zudem folgendes:


Aktualisieren Sie die Firmware aller Geräte (ohnehin empfohlen, unabhängig von neuen Schwachstellen).
Minimieren Sie den Internetzugang von kritischen IoT-Geräten;
Trennen Sie das Büronetzwerk von den Netzwerken, in denen solche Geräte verwendet werden (Tipp: Tun Sie das unabhängig davon);
Konfigurieren Sie DNS-Proxys in Netzwerken mit IoT-Geräten.

Für Unternehmen hat JSOF inzwischen ein Skript entwickelt, um Treck-Produkte in ihren eigenen Netzwerken zu identifizieren. Dies wird in diesem Stadium nicht zu 100 % effektiv sein, kann aber ein effizienter, effektiver ergänzender Ansatz sein, da er die Schwierigkeit angeht, relevante Nutzer in einem unübersichtlichen Lieferkettenpfad zu identifizieren.

*Welche Hersteller/Firmen sind betroffen? *

Anbei eine Grafik der betroffenen Hersteller:
Hinweis: Die aktuelle Liste wird regelmäßig hier von mir hochgeladen.

Bestätigt:



			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Ausstehend:



			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Nicht betroffen oder Low-Risk:



			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        




*Wie geht es mit Ripple20 weiter bzw. wie ist der aktuelle Stand im Jahr 2021?*

Die Entdecker der Sicherheitslücken, Shlomi Oberman und Moshe Kol von JSOF haben auf der Blackhat 2020 über die entdeckten Lücken gesprochen.
Die PDF der Präsentatione könnt ihr hier abrufen: *Klick*

Eines ist durch die Präsentation schnell klar geworden: Die gefundenen Lücken sind genauso fatal wie anfangs befürchtet.

Wie ging es danach weiter? Laut JSOF so:



> JSOF war allerdings vor bzw. nach der Präsentation auf der Blackhat nicht untätig, und hat mit Treck Kontakt aufgenommen, um proaktiv an einer Lösung der Situation mitzuarbeiten. Schnell wurde klar, das sich die Kontaktaufnahme aufgrund der Größe Treck als schwierig erwies. Als kleines Unternehmen welches vorrangig ein Nischenklientel bedient, gab es keinen offiziellen Ansprechparter für Sicherheitsfragen. Mit Hilfe von betroffenen Anbietern wie Digi, HP, Intel und Quadros kam der Stein dann ins Rollen.
> 
> Aufgrund von NDAs und anderen Komplexitäten war Treck nicht in der Lage, JSOF eine Liste seiner Kunden und Nutzer des Stacks zur Verfügung zu stellen.  Infolgedessen übernahm Treck die Führung im Offenlegungsprozess, da sie am besten in der Lage waren, ihre Kunden zu benachrichtigen und die entsprechenden Patches bereitzustellen.
> 
> ...



Das lässt zumindest für die Zukunft hoffen.



_*Persönliche Meinung:*_
Das klingt nach einem riesen Bot-Netz, das hier entstehen kann. Bin mal gespannt wie es weitergeht. oO

Gruß
Pain


Quelle: Ripple20 erschuettert das Internet der Dinge | heise online
Ripple20 vulnerabilities will haunt the IoT landscape for years to come | ZDNet
New Ripple20 Flaws Put Billions of Internet-Connected Devices at Risk of Hacking
https://www.kaspersky.de/blog/ripple20-vulnerabilities/24321/
https://www.jsof-tech.com/ripple20/


----------



## DKK007 (17. Juni 2020)

Da hilft dann nur den Drucker wieder klassisch per USB anzuschließen.



> Steuerungen von Stromnetzen und Industrieanlagen



Sowas sollte eh nicht am Netz hängen.


----------



## Painkiller (18. Juni 2020)

> Da hilft dann nur den Drucker wieder klassisch per USB anzuschließen.


Das ist schon mal ein erster Schritt. Inzwischen gibt es bereits erste Informationen von HP und Intel. Andere Hersteller stehen noch aus. Das ganze ist auf jeden Fall ein Major Fuckup. :/

HP:
HPSBPI03666 rev. 1 - Certain HP and Samsung-branded Print Products - Network Stack Potential Vulnerabilities | HP(R) Customer Support

Intel:
INTEL-SA-00295

Zitat Intel: _Intel recommends that users of Intel® CSME, Intel® SPS, Intel® TXE,  Intel® AMT, Intel® ISM and Intel® DAL update to the latest versions  provided by the system manufacturer that address these issues.


_


> Sowas sollte eh nicht am Netz hängen.


Exakt. Aber Industrie 4.0 ist doch die Zukunft laut unserer Regierung. Langsam sollte es auch den letzten Hardlinern dämmern, das dies nicht die Zukunft sein kann. Ich bin gespannt wann die ersten Exploits auftauchen. 

Das wirklich Interessante an Ripple20 ist das unglaubliche Ausmaß seiner Auswirkungen, die durch den Lieferkettenfaktor noch verstärkt werden. Dazu komm die extrem weite Verbreitung der Software-Bibliothek (und ihrer internen Schwachstellen). Eine einzelne anfällige Komponente, auch wenn sie an sich relativ klein sein mag, kann sich nach außen hin dadurch massiv ausbreiten und ein breites Spektrum von Branchen, Anwendungen, Unternehmen und Menschen beeinträchtigen. Bis auf ein paar IT-Seiten hat die Gesellschaft von diesem Super-GAU noch nichts davon mitbekommen. Und das ist wirklich traurig. Aber Katzenfotos via Facebook zu teilen, ist natürlich wichtiger.


----------



## Gamer090 (18. Juni 2020)

Painkiller schrieb:


> Moin,
> 
> 
> Die Sicherheitsforscher gehen in ersten Schätzungen davon aus, das hunderte Millionen wenn nicht gar Milliarden Geräte davon betroffen sein könnten. Als Beispiel werden folgende Geräte genannt: Smarthomes, Router, Drucker, Steuerungen von Stromnetzen und Industrieanlagen, Satelliten und Flugzeuge. Laut der Forscher sei das fatale an der Geschichte, das viele dieser Geräte niemals ein Sicherheitsupdate bekommen werden. Zitat: "Es hat schlicht niemand daran gedacht, dass diese Geräte einmal ein  Sicherheitsproblem haben könnten. Oder es wurde daran gedacht, dann  wurde festgestellt, dass das alles viel komplizierter und vor allem  teurer macht und das Problem dann doch lieber ignoriert."



Einfach die Geräte verkaufen und nicht daran denken das man evtl. Updates installieren muss, einfach nur Unverantwortlich  Das ganze ist Software, und die Regel Nr. 1 bei Software, es ist nie Perfekt und kann immer umgangen und manipuliert werden!



Painkiller schrieb:


> Und das ist wirklich traurig. Aber Katzenfotos via Facebook zu teilen, ist natürlich wichtiger.



In Zeiten von Sicherheitslücken sind Katzenfotos ein gutes Mittel Positive Gedanken an die Leute zu bringen, sowas darf nicht aufhören


----------



## DKK007 (18. Juni 2020)

Painkiller schrieb:


> Bis auf ein paar IT-Seiten hat die Gesellschaft von diesem Super-GAU noch nichts davon mitbekommen.


Die werden es erst mitbekommen, wenn das heute-journal berichtet.


----------



## Painkiller (18. Juni 2020)

> Einfach die Geräte verkaufen und nicht daran denken das man evtl. Updates installieren muss, einfach nur Unverantwortlich


Bin ich völlig bei dir. IoT-Geräte bzw. internetfähige Geräte sollten grundsätzliche über eine Update-Garantie seitens der Hersteller verfügen. Man kennt das Thema ja bereits zu genüge aus dem Smartphone-Sektor. Wenn das ehemalige Flaggschiff-Modell nach 2-3 Jahren plötzlich keine Updates mehr bekommt...   Hier müsste die Weltgemeinschaft mal auf einen gemeinsamen Nenner kommen, was dieses Thema angeht. Das Internet ist das Schlachtfeld der Zukunft. Im Moment wird einfach billigend in Kauf genommen, das "Unbeteiligte" in die Schusslinie geraten. Ohne eine Regelung bleibt der Otto-Normal Bürger welcher nicht so technikaffin wie wir ist, hier nämlich gnadenlos auf der Strecke. 

Die Frage die man sich stellen muss: Sind die Hersteller alleine Schuld, oder trägt die Gesellschaft auch einen Teil der Schuld, weil sie sich für solche Themen nicht interessiert, und einfach blind konsumiert?! Man könnte jetzt argumentieren, das dies nicht die Aufgabe der Gesellschaft ist. Aber viele sind meiner Meinung nach einfach zu gutgläubig bzw. naiv. 



> Das ganze ist Software, und die Regel Nr. 1 bei Software, es ist nie Perfekt und kann immer umgangen und manipuliert werden!


Exakt. 



> Die werden es erst mitbekommen, wenn das heute-journal berichtet.


"Es gibt ein Sprichwort: der Teufel ist am stärksten, während wir in die  andere Richtung schauen. Wie ein Programm, das lautlos im Hintergrund  läuft, während wir mit anderen Sachen beschäftigt sind."
_Elliot Alderson - Mr. Robot_


----------



## DKK007 (18. Juni 2020)

Wenn das Phone keine Update mehr bekommt, hast du vergessen dir das Nachfolgemodell zu holen. 



Painkiller schrieb:


> Wie ein Programm, das lautlos im Hintergrund  läuft, während wir mit anderen Sachen beschäftigt sind.



Na auf den eingebetteten Geräten sieht man gar nicht, was da an Code läuft.


----------



## Painkiller (18. Juni 2020)

DKK007 schrieb:


> Na auf den eingebetteten Geräten sieht man gar nicht, was da an Code läuft.


Das war auf die Menschen bezogen.  Die meisten haben doch beim TV gucken ihr Smartphone in den Griffeln.


----------



## DKK007 (18. Juni 2020)

Ich hab auch gerade das mm nebenbei laufen.


----------



## Painkiller (18. Juni 2020)

> Ich hab auch gerade das mm nebenbei laufen.


Erwischt! *

*Kleines Update**
Die nächsten Hersteller haben nachgezogen.

Schneider Electric:
Treck TCP/IP Vulnerabilities Security Bulletin | Schneider Electric

B.Braun:
Customer Communications

Green Hills Software: 
GHnet v2 Product Security Advisory - Green Hills Software

Bosch: 
BOSCH-SA-662084 | Bosch PSIRT

Caterpillar:
Caterpillar Cybersecurity Advisory &#8211; June 16 | Cat | Caterpillar
-------------------------------------------------------

Da muss in Zukunft echt was passieren, sonst sind solche Bot-Netz Angriffe hier bald alltäglich: 


Spoiler






			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## DKK007 (18. Juni 2020)

Painkiller schrieb:


> Die nächsten Hersteller haben nachgezogen.



Nur mit Berichten über die Existenz der Lücke, oder schon mit Updates?



Painkiller schrieb:


> Caterpillar:
> Caterpillar Cybersecurity Advisory &#8211; June 16 | Cat | Caterpillar
> -------------------------------------------------------



Kann man dann den Bulldozer fernsteuern?


----------



## Painkiller (18. Juni 2020)

> Nur mit Berichten über die Existenz der Lücke, oder schon mit Updates?


Teils Teils, so wie sich das liest. Einige Hersteller reden gar nicht öffentlich darüber, sondern verweisen direkt an den Kundensupport. 



> Kann man dann den Bulldozer fernsteuern?


Perhaps!  




__ Youtube
				- Eingebundener Inhalt
			


__
youtube.com/watch/?v=kjvcSFGJOhI

				
				An dieser Stelle findest du externe Inhalte von Youtube. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst:
			

Alle externen Inhalte laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt. Für mehr Informationen besuche die Datenschutz-Seite.




**Kleines Update II* *

Hier ist eine Liste der betroffenen Herstellern: 


Spoiler






			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        




Quelle: New Ripple20 Flaws Put Billions of Internet-Connected Devices at Risk of Hacking


----------



## DKK007 (18. Juni 2020)

Gibt es denn irgendwelche Listen, welche konkreten Modellreihen nun betroffen sind? 

"Texas Instruments"
Kann man dann die verhauene Matheklausur anfechten, weil der Taschenrechner gehackt wurde?


----------



## Painkiller (18. Juni 2020)

> Gibt es denn irgendwelche Listen, welche konkreten Modellreihen nun betroffen sind?


Zusammengefasste Listen habe ich noch nicht gesehen. Nur Herstellerspezifische. Aber auch hier hält sich der Komunikationswillen in Grenzen. 



> Kann man dann die verhauene Matheklausur anfechten, weil der Taschenrechner gehackt wurde?


Texas Instruments ist scheinbar nicht betroffen.  

**Kleines Update III**
Die Liste der Hersteller ist schon wieder veraltet. Hier die neue: 


Spoiler






			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        





Quelle: https://www.jsof-tech.com/ripple20/

Mit HPE, Cisco, APC und Intel hat es den IT-Enterprise Sektor gut erwischt. 
AMD ist laut Liste nicht betroffen.


----------



## DKK007 (18. Juni 2020)

Könnte AMD zumindest den nötigen Schub bei den Zen3-Serversystemen geben, wenn da alle was neues kaufen müssen. 
Bei Workstations ist man mit TR schon jetzt gut dabei.


----------



## Gamer090 (18. Juni 2020)

Painkiller schrieb:


> Perhaps!
> 
> 
> 
> ...



Genau sowas wollte ich schon als Kind immer haben  



DKK007 schrieb:


> Gibt es denn irgendwelche Listen, welche konkreten Modellreihen nun betroffen sind?
> 
> "Texas Instruments"
> Kann man dann die verhauene Matheklausur anfechten, weil der Taschenrechner gehackt wurde?



Bei diesem Hersteller habe  ich mich wirklich gefragt ob die Taschenrechner gemeint sind oder gibt es schon welche mit Internetanbindung? Und dann auch mit Alexa? "Alexa, was ergibt 1/2 + 1/2" oder so ähnlich?


----------



## DKK007 (18. Juni 2020)

Gamer090 schrieb:


> Bei diesem Hersteller habe  ich mich wirklich gefragt ob die Taschenrechner gemeint sind oder gibt es schon welche mit Internetanbindung?



Scheinbar schon: Android auf dem Taschenrechner | heise online
Ist natürlich in keiner Klausur erlaubt.


----------



## bushfeuer (18. Juni 2020)

Solche Probleme waren ja angesichts der stiefmütterlichen Behandlung von Software bei vielen IoT-Geräten absolut vorhersehbar...

HP war offenbar recht schnell - mein Drucker hat letzte Woche ein Firmware-Update geladen, das scheinbar die Lücken schließt.


----------



## Lexx (18. Juni 2020)

Ach, wir haben einige HP Drucker und AiO im Büro.
Das war mir schon vor 10? Jahren äußerst suspekt, 
deren Internet-Fähigkeiten, deren Beschreibungen dazu.
Abschalten, blocken, disablen, Weg damit.
(Auch die USB-Funktionen wurden vorsorglich deaktiviert.)

Bei IoT wundert mich gar nichts mehr.
Das ist schlimmer als Trump, Merkel, Corona, EA, GEZ, 
China und Nordkorea zusammen.

(Aber ich mag diese unsicheren Webcams...)


----------



## Painkiller (22. Juni 2020)

> Solche Probleme waren ja angesichts der stiefmütterlichen  Behandlung von Software bei vielen IoT-Geräten absolut vorhersehbar...


Exakt. Aber das erklär mal den Kunden, die technisch nicht so versiert sind. Ich denke das ist mit eines der größten Probleme. Konsum trotz fehlenden Hintergrundwissens. 



> Ach, wir haben einige HP Drucker und AiO im Büro.
> Das war mir schon vor 10? Jahren äußerst suspekt,
> deren Internet-Fähigkeiten, deren Beschreibungen dazu.
> Abschalten, blocken, disablen, Weg damit.
> (Auch die USB-Funktionen wurden vorsorglich deaktiviert.)


Bin ich völlig bei dir. An die USB-Funktion denken die wenigsten. Dabei ist diese wirklich wunderbar geeignet, um bösartige Software ins Netz zu transportieren. 
Bei uns im Büro hab ich diese auch bei allen Druckern deaktiviert. USB-Geräte werden auch grundsätzlich bei uns ohne Freischaltung durch die IT geblockt. 



> (Aber ich mag diese unsicheren Webcams...)


40.000 NSA-Mitarbeitern gefällt das! 


**Kleines Update IV*
*Die neue Liste von betroffenen Unternehmen ist veröffentlicht worden. 


Spoiler






			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        





Auf der Blackhat 2020 werden die Entdecker der Sicherheitslücken darüber sprechen. 

Hier sind die neuen Gutachten der betroffenen Hersteller: Intel, HP, Schneider Electric, Caterpillar, B.Braun, Green Hills, Rockwell Automation, Cisco , Teradici, Baxter, CareStream


----------



## Painkiller (30. Juni 2020)

**Kleines Update V*
*
Es hat sich wieder ein bisschen was getan. Die neue Liste mit betroffenen Herstellern ist herausgegeben worden: 


Spoiler






			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        





Die Berichterstattung ist immer noch mau. Immerhin Kaspersky schon mal einen Artikel Online gestellt. 

Es sind auch neue Stellungnahmen der Hersteller dazu gekommen: 
Aruba Networks, B.Braun,Baxter, CareStream, Caterpillar, Cisco , Digi International, Green Hills, HP, Intel, Rockwell Automation, Schneider Electric, Teradici, Xerox


----------



## Painkiller (6. Juli 2020)

**Kleines Update VI**
Über´s Wochenende ist so einiges passiert. Die Liste ist gerade bei "Pending" ordentlich gewachsen. 20 Firmen mehr sind nun dort gelistet. 

Ein paar neue Infos gibt es auch zur Reichweite der Sicherheitslücken. Die Firma Track hat in den 90ern in Zusammenarbeit mit einem japanischen Unternehmen namens Elmec Systems diesen Stack entwickelt. 
Nach Beendigung der Zusammenarbeit haben aber beide Unternehmen den Stack unter jeweils anderen Namen an andere Hersteller lizensiert. Diese Hersteller haben dann wiederum Unterlizenzen verteilt. 



Spoiler






			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Painkiller (8. Juli 2020)

**Kleines Update VII**
Ich hab den Startpost überarbeitet und besser strukturiert, damit das ganze etwas verständlicher ist. 
Ansonsten gibt es bis jetzt nichts neues. Eine Kleinigkeit wäre evtl. erwähnenswert. Der Hersteller von Cybersicherheits-Software, Rhebo, bietet einen Schutzsoftware namens  "IoT Device Protection" an, welche auch gegen Ripple20 schützen soll. 

Persönliche Meinung zur Rhebo-Software: 

Löblich, allerdings frag ich mich wie sicher die Software selbst ist bzw. wie ihre Sicherheitsmechanismen aufgebaut sind. 

Zitat: _ Die Sicherheits-Software wird direkt auf dem vernetzten IoT-Gerät  integriert, um lokal zu wirken und die restliche Flotte der vernetzten  IoT-Geräte zu schützen. Das ist umso wichtiger in IoT-Netzwerken, in  denen die vernetzten Geräte auf identischer Technologie laufen. 
_Diese Diskussion gibt es ja bei AV-Software auch immer wieder. 

Entsteht bei solcher Software nicht ein zusätzlicher Angriffsvektor? Gerade wenn die Software auf allen IoT-Geräten innerhalb eines Netzwerks läuft, ist das Risiko gegeben bei nur einer Lücke in der Software das ganze Netzwerk mit einem Schlag zu kompromitieren. Spannend find ich solche Software auf jeden Fall. Mal sehen was ich beim Hersteller direkt über die Software erfahren kann.


----------



## DKK007 (8. Juli 2020)

Wichtiger wären eher Updates um die Lücke selbst zu schließen.

Dafür wäre es mal gut, detaillierte Modellisten zu haben.


----------



## Painkiller (7. August 2020)

Da stimme ich dir schon zu, allerdings muss man die ganze Supply-Chain überarbeiten damit so eine Geschichte nicht mehr passieren kann. 

**Kleines Update VIII*

*Der Blackhat-Vortrag von JSOF wurde veröffentlicht. Die Details sind sehr interessant! Hier ist der Link dazu: 
https://i.blackhat.com/USA-20/Wedne...aunt-Tens-Of-Millions-Of-Critical-Devices.pdf
Ihr findet die PDF aber auch im Anhang. 

Zudem wurde die Liste der betroffenen Hersteller aktualisiert. Die Listen findet ihr wie immer im Spoiler.



Spoiler






			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        





			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## DKK007 (7. August 2020)

Was sind so die interessantesten Punkte in dem Vortrag? 

Und wie sieht es nun mit Lösungen aus?


----------



## Painkiller (10. August 2020)

> Was sind so die interessantesten Punkte in dem Vortrag?


Ich fang mal mit der Kernaussage an, die ich aus diesem Vortrag so rauslese:



			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Und das ist leider nicht übertrieben. Die Beispiele welche in dem Vortrag genannt wurden, bestätigen die Vermutungen das uns diese Lücken Jahrelang begleiten werden.
Viele Geräte die über diesen TCP/IP Stack verfügen, sind Zombies. Das bedeutet, sie sind zwar in diversen Netzwerken vorhanden, werden aber nicht gemonitort/gewartet. Der TCP/IP Stack ist bereits über 20 Jahre alt. Das alleine wäre ja nicht schlimm, aber dadurch das das jede TCP/IP Instanz anders ist bzw. sein kann, macht es das unglaublich schwierig zu ermitteln, ob und in welcher schwere die Geräte betroffen sind. Das ist vorallem dem Weiterverkauf der Lizenzen und später dann der Unterlizenzen geschuldet. Du musst also erstmal rausfinden, in welchen Lieferketten dieser Stack überhaupt vorhanden ist. Dazu kommt, das ein Gerät über mehrere Lücken verfügen kann. Interessant ist die Folie auf Seite 38. Ich interpretiere diese so, das die neue Version hier zwar Vuln #1 schließt, aber dafür Vuln #3 öffnet. 

Der Beispiel-Exploit mit der USV aus dem Vortrag ist sehr interessant, finde ich. Es gelingt ihnen durch die Lücke, via Remote-Code-Ausführung das Gerät lahm zu legen. Das ist wirklich erschreckend. 



> Und wie sieht es nun mit Lösungen aus?


Schwierig. Viele der Geräte sind technisch nicht in der Lage Updates einzuspielen. Die Hersteller haben das (aus Kostengründen?) bei vielen Geräten einfach nicht vorgesehen. Die offensichtliche Lösung für dieses Problem bestünde darin, mit dem Bau neuer Geräte unter Berücksichtigung der Cyber-Sicherheit zu beginnen. 

Als Unternehmen hast du die Möglichkeit eine UTM-Infrastruktur aufzubauen. Die Firewall muss dabei zwingend IPS/IDS untersützen. Durch tägliche Signaturupdates können so bösartige Ripple20-Datenpakete vorab erkannt und blockiert werden. Man kann auch auf Profil- oder Anomalie-basierende Erkennung setzen. Allerdings darf das Netzwerk vorab nicht kompromitiert sein. Sonst wird ein Profil angelegt, die der Software sagt, das es normal ist, eine Schadsoftware/Eindringling im System zu haben.  Daher lohnt sich das Profil-System meiner Meinung nach nur, wenn ein Netzwerk neu aufgebaut wird. Allerdings entsteht dadurch auch wieder ein neues altes Problem. Sobald ein UTM-Programm im Einsatz ist, besteht auch hier die Gefahr das dieses Ziel eines Cyberangriffs wird. Bedeutet im Umkehrschluss: Du braucht eine zweite Verteidigungsline, falls die erste fällt. Und die sollte aus Best-of-breed-Software/Hardware bestehen. Die ganze UTM / Second Defense Geschichte ist dementsprechend kostenspielig, aber die Alternativen wären weitaus teurer. 

Als Privatkunde hast du die Goldene Arschkarte. Du bist hier stark von den Herstellern und deinem eigenen Know-How abhängig. Aktualisiere die Firmware sämtlicher deiner Geräte, und verwende möglichst keine IoT-Geräte. Hab außerdem ein Auge, auf die aktuellen Meldungen der Hersteller zu Ripple20. Mehr kann man im Moment nicht tun. 

Gruß
Pain


----------



## DKK007 (10. August 2020)

Wäre ja die Frage, welche betroffene Geräte man entsprechend durch neue ohne Lücke ersetzen müsste. Wäre zwar kostspielig, aber wohl die praktikabelste Lösung.


----------



## Painkiller (11. August 2020)

DKK007 schrieb:


> Wäre ja die Frage, welche betroffene Geräte man entsprechend durch neue ohne Lücke ersetzen müsste. Wäre zwar kostspielig, aber wohl die praktikabelste Lösung.


Stimmt, nur bis wirklich genau bekannt ist, welche Geräte betroffen sind, wird noch viel Zeit vergehen. Das Ganze ist wirklich sehr unübersichtlich. Aber wie schon gesagt, viele der IoT-Geräte 

Aber damit es nicht langweilig wird, bis es News zu Ripple20 gibt: 


Spoiler






			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Def Con 2020: Millionen von IoT-Geraeten im Handumdrehen hackbar | heise online
Def Con 2020: Android-Geraete ueber Luecken in Snapdragon-Chips ausspionierbar | heise online
Def Con 2020: Weltweit Satellitenkommunikation belauschen &#8211; fuer unter 300 Euro | heise online
WLAN-Router im Visier von Hackern | heise online


----------



## Painkiller (16. April 2021)

Auch wenn es um Ripple20 etwas still geworden ist: Die Sicherheitsforscher schlafen nicht. 

Dieses mal hat es die TCP/IP-Stack-Implementierungen von Nucleus Net (Siemens), FreeBSD und NetX alias Azure RTOS NetX (Microsoft) erwischt. Bis jetzt ist von mindestens 100 Millionen betroffenen Geräten die Rede. 









						Name:Wreck – Forscher entdecken weitere Schwachstellen in TCP/IP-Stacks
					

100 Millionen Geräte mit Nucleus Net (Siemens) sowie älteren FreeBSD-, NetX- und IPNet-Versionen leiden an einer Gruppe Sicherheitslücken. IoT bleibt Baustelle.




					www.heise.de
				




Fazit: IoT ist und bleibt ein extrem gefährliches Pflaster.


----------



## DKK007 (17. April 2021)

Nun müsste man aber wissen, in welchen Geräten sowas läuft.


----------



## Poulton (17. April 2021)

FreeBSD? Da bin ich mal gespannt ob das auch Sony und Apple betrifft und ich mein, dass die Ironports von Cisco auch FreeBSD basierend sind bzw. ein Abkömmling davon.


----------



## Painkiller (20. April 2021)

DKK007 schrieb:


> Nun müsste man aber wissen, in welchen Geräten sowas läuft.


Ähnlich wie bei Ripple20 wird das Ganze wohl ähnlich undurchsichtig bleiben. 



Poulton schrieb:


> FreeBSD? Da bin ich mal gespannt ob das auch Sony und Apple betrifft und ich mein, dass die Ironports von Cisco auch FreeBSD basierend sind bzw. ein Abkömmling davon.


Das BSI hat inzwischen auch ein Whitepaper dazu veröffentlicht:


			https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-207948-1032.pdf?__blob=publicationFile&v=2
		


Von Sony, Apple und Cisco hab ich noch nichts gehört bzw. darüber gefunden. Mal sehen ob von denen Stellungnahmen oder Notfallpatches kommen. Ich vermute aber nicht, da die Patches dafür schon länger zur Verfügung stehen. Evtl. wurde es von den Herstellern für die Privatgeräte als "Firmware"-Update getarnt?!

Zitat:


> _Für angreifbar befunden wurden *FreeBSD 12.1, der IPNet-Stack im (schon recht betagten, den EoL-Status erreichten!) VXWorks 6.6, NetX 6.0.1 und Nucleus NET 4.3*. Mindestens im Fall von Nucleus Net sind, wie aus den am Ende dieser Meldung verlinkten Advisories hervorgeht, auch neuere Versionen verwundbar. FreeBSD wiederum ist bereits seit vergangenem Jahr abgesichert._


----------



## Painkiller (10. Mai 2021)

** "Kleines" Update IX **
So, der Thread hat nun ein letztes Update bekommen. 
Wall of Text incomig.


----------

