Netzfundstück: Ripple20 Vorfälle

IoT-Geräte sind für ihre fehlende Cybersicherheit berüchtigt. Im Juni 2020 wurde eine Reihe bestehender und weit verbreiteter Schwachstellen bekannt, die unter dem Namen Ripple20 zusammengefasst wurden. Eine Auswertung unserer Ergebnisse aus vergangenen und laufenden Projekten lässt vermuten, dass ein Teil der von Rhebo identifizierten Aktivitäten auf IoT-Geräten und in industriellen Netzwerken auf diese Schwachstellen zurückzuführen sind. Die folgenden Netzfundstücke zeigen eine Auswahl.

Fundstück #1: Fehlerhafte Datenpakete

Ripple20 umfasst mehrere Schwachstellen in der TCP/IP-Bibliothek der Firma Treck. Die Schwachstellen finden sich vorrangig auf Low-Level-Protokollen wie IP, TCP oder ICMP. Diese können von professionellen und gut informierten Angreifern verhältnismäßig einfach angesprochen und ausgenutzt werden. So genügt bei mehreren Ripple20-Schwachstellen das Provozieren eines Buffer Overflows, um schadhafte Datenpakete einzuschleusen und das IoT-Gerät zu übernehmen oder das Betriebssystem lahmzulegen.

In einem Fall identifizierte Rhebo in einem Netzwerk solche Kommunikation. Die Anomalieerkennung meldete in Echtzeit ein Datenpaket, dass durch eine fehlerhafte ICMP-Checksumme sowie neuartige Funktionen auffiel, die im Netzwerk ungewöhnlich waren.

Fundstück #2: Fehlerhafte Header

Ein weiterer Angriffsvektor über die Ripple20-Schwachstellen basiert auf veränderten IP-Headern. In einem Projekt wurde Kommunikation festgestellt, die verschiedene Header-Fehler aufwies – darunter unter anderem zwei Checksummenfehler im IP- und TCP-Protokoll. Auch diese fehlerhafte Kommunikation wurde in Echtzeit erkannt und konnte nachfolgend unterbunden werden.

Fundstück #3: Versuchte Geräte-Übernahme

Eine der gefährlichsten möglichen Angriffe auf Basis der Ripple20-Schwachstellen führt zur vollständigen Übernahme eines IoT-Gerätes. Bereits im Dezember 2019 erkannte Rhebo bei einem Gerät einen solchen Versuch. Der Angreifer hatte vermutlich einen DNS-Server bei einem Drittanbieter kompromittiert, der für Abfragen seitens der IoT-Geräte genutzt wurde. Eine reguläre DNS-Anfrage seitens des Kunden wurde vom DNS-Server mit einem verdächtigen Paket beantwortet. Im Falle des Erfolgs hätte der Angreifer die Kontrolle des IoT-Geräts übernehmen können. Rhebo meldete die manipulierte Antwort jedoch direkt als anormale Aktivität. Der Betreiber konnte sie umgehend blocken und den Servicedienstleister informieren.

Ganzheitlicher Schutz von ICS und IoT vor Cyberattacken und Fehlerzuständen

Rhebo schützt mit dedizierten Monitoringlösungen sowohl Steuerungsnetzwerke als auch vernetzte IoT-Geräte vor Cyberangriffen, Manipulation und technischen Fehlerzuständen.

Anomalieerkennung und automatisierte Gefahrenabwehr sorgen für integrierte Cybersicherheit der industriellen Netzwerke und verteilten IoT-Geräte im globalen IoT-Netzwerk.