Die Sicherheitsforscher von Forescout haben bei der Untersuchung mehrerer TCP/IP-Stacks 33 Sicherheitslücken gefunden, die Millionen von netzwerkfähigen Geräten von mehr als 150 Herstellern betreffen sollen. Wie sie in einem
Blog-Beitrag schreiben, finden sich die als Amnesia:33 bezeichneten Sicherheitslücken, von denen vier als kritisch eingestuft werden, in den vier TCP/IP-Stacks uIP, FNET, picoTCP und Nut/Net. Dabei handelt es sich ausnahmslos um Open-Source-Implementierungen des TCP/IP-Protokolls. Diese Schwachstellen führen in erster Linie zu Speicherbeschädigungen und ermöglichen es Angreifern, Geräte zu kompromittieren, bösartigen Code auszuführen, Denial-of-Service-Angriffe durchzuführen und sensible Informationen zu stehlen.
Laut den Sicherheitsforschern sei es schwierig herauszufinden, in welchen Geräten oder Hardware-Komponenten die betroffenen TCP/IP-Stacks oder Teile davon verwendet werden, da sich der Open-Source-Programmcode beispielsweise über Forks der jeweiligen Implementierung sehr stark verbreiten kann. Auch deshalb sei es nötig, rasch zu handeln und Updates für die betroffenen Geräte bereitszustellen. Der vollständige Bericht zu Amnesia:33 steht
hier zum Download bereit.
Bereits im Sommer dieses Jahres wurden in der TCP/IP-Implementierung von Treck etliche Sicherheitslücken gefunden, die hunderte Millionen IoT-Geräte bedrohen ("Swiss IT Magazine"
berichtete).
(luc)