Das Bundesamt für Sicherheit in der Informationstechnik BSI hat vor einer massiven Sicherheitslücke bei über einer Millionen vernetzter Geräte von mehr als 150 verschiedenen Herstellern gewarnt.
Hintergrund: Das Security-Unternehmen Forescout veröffentlichte am 8. Dezember die Untersuchung Amnesia:33, die 33 Schwachstellen in vier verschiedenen Open Source Netzwerk-Stacks beinhaltet. Ein Netzwerk-Stack bezeichnet jene Software, die ankommende und ausgehende Datenpakete zur Kommunikation im Netzwerk verarbeitet. Das BSI wurde am 2. September 2020 von der amerikanischen Partnerbehörde CISA (Cybersecurity & Infrastructure Security Agency) gebeten, bei einem größeren Coordinated Vulnerability Disclosure (CVD)-Prozess das Schließen von Schwachstellen zu unterstützen. Das BSI hat dabei die Federführung für die geografische Region Europa übernommen und wurde dabei von anderen europäischen CERTs unterstützt. „Wir haben als BSI 31 Unternehmen kontaktiert, davon 14 in Deutschland. All jene Unternehmen, die sich auf unseren Hinweis zurückmeldeten, konnten wir im CVD-Prozess unterstützen. Dennoch gibt es eine Anzahl von Unternehmen, die nicht reagiert haben. Die betreffenden Schwachstellen in den Netzwerk-Stacks, welche in unterschiedlichsten Produkten Anwendung finden können, sind teilweise kritisch. Betroffen sein können Unternehmen, darunter auch Betreiber kritischer Infrastrukturen sowie Privatanwenderinnen und -anwender von IoT-Geräten", so Arne Schönbohm, Präsident des BSI.
Forescout beschreibt Amnesia:33 als eine Reihe von 33 Sicherheitslücken, die sich auf vier Open-Source-TCP / IP- Stacks (uIP, FNET, picoTCP und Nut / Net) auswirken, die zusammen als grundlegende Komponenten von Millionen verbundener Geräte weltweit dienen. Diese Sicherheitslücken führten hauptsächlich zu Speicherbeschädigungen, sodass Angreifer Geräte kompromittieren, bösartigen Code ausführen, Denial-of-Service-Angriffe ausführen und vertrauliche Informationen stehlen könnten.
Betroffen sein können laut Forescout unter anderem Geräte aus Bereich vernetzte Türschlösser und Schließanlangen sowie IP-Sicherheitskameras, aber auch Umgebungssensoren und Feuer- und Rauchmelder.
Der Untersuchungsbericht von Forescout ist zu finden unter www.forescout.com/research-labs/amnesia33 .