Haushalten, Krankenhäusern und Industrieanlagen werden von teils kritischen Sicherheitslücken in einer TCP/IP-Implementierung gefährdet.

In der TCP/IP-Implementierung der Firma Treck hat ein Forscherteam reihenweise Sicherheitslücken entdeckt. Der TCP/IP-Stack stellt die verwundbarste Stelle eines Netzgerätes dar, da er als erste Instanz alle Netzwerkdaten verarbeitet – auch die bösartigen eines Angreifers.

Programmierfehler an dieser Stelle führen meist zu kritischen Sicherheitslücken. Der TCP/IP-Stack von Treck ist für Embedded Geräte optimiert und wird von Unternehmen wie beispielsweise HP, Intel, Schneider Electric und Rockwell Automation verwendet. Offensichtlich hat Trecks TCP/IP-Implementierung das Sicherheitsthema bislang nicht mit viel Aufmerksamkeit behandelt.

In ihren systematischen Tests entdeckten Shlomi Oberman und Moshe Kol von der israelischen Sicherheitsfirma JSOF gleich 19 Sicherheitslücken, zusammengefasst “Ripple20” genannt. In den meisten Fällen wurde die Fragmentierung der Längenbeschränkung einzelner Felder nicht beachtet. Dies führt zu Pufferüberläufen im Speicher. Somit hat der Angreifer die Möglichkeit, auf Code und kritische Daten zuzugreifen.

Die Lücke wurde in der Version 6.0.1.67 vom Hersteller beseitigt. Wie diese Version auf die betroffenen Geräte gelangen, soll ist noch unklar. Laut CERT/CC sollen die Hersteller sich an die Firma Treck richten (security@treck.com). Kunden die das verwundbare Gerät einsetzen werden gebeten ihren Verkäufer zu kontaktieren.

Wie die Kunden rausfinden können, ob sie vom Problem betroffen sind, ist noch unklar. Einen konkreten Test gibt es nicht. Die Entdecker und CERTs empfehlen zum Schutz den „anormalen IP-Verkehr“ zu blockieren. Hier sind spezifizierte TCP/IP-Funktionen wie fragmentierte Pakete, IP-Tunneling und Source Routing gemeint.

Entdecker der Lücke schätzen hunderte von Millionen, vielleicht sogar Milliarden Geräte als betroffen ein. Eine genaue Zahl liegt derzeit noch nicht vor.