Die Security-Firma JSOF hat insgesamt 19 angreifbare Schwachstellen in Code gefunden, der dazu dient IoT-Geräte ans Internet anzuschliessen. Offenbar sind hunderte Millionen von Geräten von über 500 Herstellern davon bedroht: vom medizinischen Gerät über den Drucker bis zum industriellen Steuerungsmodul. Dies schreibt JSOF in einem Blogbeitrag. Die israelischen Forscher haben die Sammlung von Lücken auf den Namen Ripple20 getauft.

Entdeckt wurden die Probleme letzten Herbst, als JSOF ein Gerät analysierte und dabei feststellte, dass der TCP/IP-Stack Schwachstellen enthielt. Gefunden wurde die Zero-Day-Schwachstellen schliesslich in Code der US-Software-Firma Treck. Diese selbst ist weniger bekannt, ihre Lösungen kommen allerdings bei grossen Herstellern wie HP, Intel, Schneider Electric, Caterpillar und Rockwell Automation zum Einsatz. Zudem, so JSOF, setzten hätten auch viele weitere Anbieter den Code in ihren Geräten implementiert. 

"Nicht viele haben von der Firma [Treck] gehört, aber sie ist eine führende Anbieterin von TCP/IP-Stacks, sie steht also am Anfang einer wirklich komplexen Lieferkette", sagt JSOF-CEO Shlomi Oberman. Ripple – Englisch für Krabbeln – haben die Forscher die Lücken genannt, weil sie gewissermassen die Lieferkette hochkrabbelt und von einem vergleichsweise kleinen Anbieter die grossen Vendors erreicht.

Mehrere der Lücken erlauben es Angreifern, wenn sie ausgenutzt werden, beliebigen Code auf Zielgeräten auszuführen. Zudem könnten über Jahre schädlicher Code in Devices verstecken, so JSOF. Zwei der Schwachstellen haben den höchsten CVSS-Score 10 erhalten, zwei weitere Schwachstellen eine 9,8. Sie ermöglichten Angreifern die Zielgeräte zu übernehmen: Etwa industrielle Steuerungsgeräte oder medizinische Devices.

Den detaillierten Bericht mit CVE-Nummern und Beschreibungen hat JSOF auf seiner Website veröffentlicht.