Zero-Day-Lücken: Hunderte Millionen von IoT-Geräten bedroht

16. Juni 2020, 16:00
image

Einige der 19 Schwachstellen erlauben die Ausführung von beliebigem Code aus der Ferne und haben den höchsten CVSS-Score.

Die Security-Firma JSOF hat insgesamt 19 angreifbare Schwachstellen in Code gefunden, der dazu dient IoT-Geräte ans Internet anzuschliessen. Offenbar sind hunderte Millionen von Geräten von über 500 Herstellern davon bedroht: vom medizinischen Gerät über den Drucker bis zum industriellen Steuerungsmodul. Dies schreibt JSOF in einem Blogbeitrag. Die israelischen Forscher haben die Sammlung von Lücken auf den Namen Ripple20 getauft.
Entdeckt wurden die Probleme letzten Herbst, als JSOF ein Gerät analysierte und dabei feststellte, dass der TCP/IP-Stack Schwachstellen enthielt. Gefunden wurde die Zero-Day-Schwachstellen schliesslich in Code der US-Software-Firma Treck. Diese selbst ist weniger bekannt, ihre Lösungen kommen allerdings bei grossen Herstellern wie HP, Intel, Schneider Electric, Caterpillar und Rockwell Automation zum Einsatz. Zudem, so JSOF, setzten hätten auch viele weitere Anbieter den Code in ihren Geräten implementiert. 
image
In diesen Bereichen finden sich verwundbare Geräte.
"Nicht viele haben von der Firma [Treck] gehört, aber sie ist eine führende Anbieterin von TCP/IP-Stacks, sie steht also am Anfang einer wirklich komplexen Lieferkette", sagt JSOF-CEO Shlomi Oberman. Ripple – Englisch für Krabbeln – haben die Forscher die Lücken genannt, weil sie gewissermassen die Lieferkette hochkrabbelt und von einem vergleichsweise kleinen Anbieter die grossen Vendors erreicht.
Mehrere der Lücken erlauben es Angreifern, wenn sie ausgenutzt werden, beliebigen Code auf Zielgeräten auszuführen. Zudem könnten über Jahre schädlicher Code in Devices verstecken, so JSOF. Zwei der Schwachstellen haben den höchsten CVSS-Score 10 erhalten, zwei weitere Schwachstellen eine 9,8. Sie ermöglichten Angreifern die Zielgeräte zu übernehmen: Etwa industrielle Steuerungsgeräte oder medizinische Devices.
Den detaillierten Bericht mit CVE-Nummern und Beschreibungen hat JSOF auf seiner Website veröffentlicht.

Loading

Mehr zum Thema

image

Startup Hellosafe will sich in der Schweiz ausbreiten

Das französische Vergleichs­portal schliesst eine Finanzierungs­runde über gut 3 Millionen Franken ab. Das Kapital soll unter anderem in die Marktexpansion fliessen.

publiziert am 27.9.2022
image

Französische Smile Group kauft Schweizer Data Management Provider

Die 30-köpfige Firma Synotis ist mehrheitlich von Smile übernommen worden. Der Open-Source-Spezialist will seine Position in der Schweiz stärken.

publiziert am 27.9.2022
image

Geotech: Huaweis "eiserne Armee" in der Defensive

Huawei-CEO Zhengfei spricht von einem Überlebenskampf, während der internationale Druck zunimmt. Wir haben bei Huawei Schweiz nach Transparenzbemühungen und Geschäftsgang gefragt.

publiziert am 27.9.2022 2
image

Schweiz ein weiteres Mal Innovations-Europameister

Im European Innovation Scoreboard 2022 schneidet die Schweiz besser ab als die EU-Spitzenreiter Schweden und Finnland.

publiziert am 26.9.2022