Fehler im TCP/IP-Stack gefährden Millionen internetfähige Geräte

Gefahr für Millionen vernetzter Geräte durch Amnesia:33

Mitte dieser Woche sorgten Medienberichte für Unruhe: „Millionen vernetzter Geräte von gut 150 Herstellern sind von Software-Schwachstellen betroffen.“
(u.a. BSI: Behörde bestätigt Gefahr für Millionen vernetzter Geräte | BR24). TDT-Produkte sind von dieser Sicherheitslücke nicht betroffen, wie Dr. Harald Voit (Leiter Entwicklung und Produktmanagement der TDT AG) im Interview erläutert:

Um was ging es bei dem Vorfall?
Dr. Voit: Das auf Sicherheitsanalysen spezialisierte Unternehmen Forescout Research Labs hat in einer Studie sieben Open Source TCP/IP Stacks untersucht. In vier Stacks wurden teils kritische Sicherheitslücken entdeckt.

Welche Probleme wurden konkret festgestellt?
Dr. Voit: Insgesamt wurden 33 Sicherheitslücken gefunden; vier davon wurden als kritisch eingestuft. Ein Fehler in der Implementierung des Netzwerk-Stacks (=TCP/IP stack) ist deshalb gefährlich, weil alle Datenpakete zuallererst vom Netzwerk-Stack verarbeitet werden müssen. Somit kann ein bösartiger Code an erster Stelle schon schlimme Folgen haben, bevor weitere Sicherheitsmechanismen überhaupt greifen können.

Wie könnten sich derartige Sicherheitslücken auswirken?
Dr. Voit: Mit den gefundenen Sicherheitslücken ist es beispielsweise möglich, Denial-of-Service (DoS)-Attacken durchzuführen oder vertrauliche Informationen abzugreifen. Die gefundenen Sicherheitslücken gehen teilweise auf schlechte Software-Entwicklungs-Praxis zurück.

Inwieweit betrifft diese Problematik die TDT AG und TDT-Kunden?
Dr. Voit: Die Produkte von TDT sind nicht betroffen. Der Grund dafür ist, dass die Sicherheitslücken allesamt in Software gefunden wurden, die hauptsächlich auf embedded Geräten (IoT devices) läuft. Embedded heißt, dass die Geräte klein, in der Regel nicht sehr leistungsstark und nur für eine sehr spezielle Aufgabe gebaut werden. Unsere Produkte sind deutlich leistungsfähiger und haben viel mehr Aufgaben. Deshalb haben sie ein auf Linux basierendes Betriebssystem, nämlich OpenWrt. Speziell in OpenWrt wird der Linux kernel TCP/IP stack verwendet. Dieser Stack ist nicht betroffen. Er wurde aber auch nicht explizit untersucht, da die Studie sich mit IoT-Geräten und den dort eingesetzten Stacks beschäftigt hat.


Dr. Harald Voit
(Leiter Entwicklung und Produktmanagement der TDT AG

Lässt sich aus Ihrer Sicht eine Lehre aus dem Vorfall ziehen?
Dr. Voit: Aus meiner Sicht ist es wichtig, dass das Bewusstsein der Kunden geschärft wird, wie wichtig Updates sind. Viele der betroffenen Geräte sind nämlich nicht updatefähig, weil IoT-Geräte naturgemäß oft billige Geräte aus Fernost sind und nach dem Prinzip “fire-and-forget“ ausgeliefert und benutzt werden. Grundsätzlich sollten bereitgestellte Updates oder Patches unbedingt installiert werden. Wichtig ist mir auch zu betonen, dass das Problem nicht Open Source ist. Gerade weil der Quellcode offen ist, konnten die Lücken gefunden werden!