Ripple20: Vom Zero-Day zum Forever-Day

07.07.2020
G DATA Blog

Eine ganze Sammlung von Sicherheitslücken in einem weit verbreiteten TCP/IP-Stack sorgt für Aufruhr in der IoT-Welt und in der Industrie.

Eine ungepatchte Sicherheitslücke in einem Programm bezeichnet man oft als "Zero-Day"-Lücke. Wenn es um Sicherheitslücken geht, dann winken viele schnell ab - irgendwann wird es ein Update geben und die Sicherheitslücke ist behoben. Und dass das wichtig ist, darauf weisen nicht nur wir bei G DATA ständig aufs Neue hin, sondern auch zahllose andere Sicherheitsexperten aus aller Welt. Was für Betriebssyteme und installierte Programme gilt, hat jedoch auch für zahlreiche netzwerkfähige Geräte Gültigkeit. Und von denen gibt es heute fast täglich mehr - doch Update sind tatsächlich oft genug ein Problem - denn oft genug gibt es keine. So wird aus einer Zero-Day schnell ein "Forever-Day", von dem mancher nicht einmal etwas weiß. Doch wie kann jemand nicht wissen, dass es in einem Gerät oder einer Anlage eine unbehebbare Schwachstelle gibt?

Wie schwierig die Suche werden kann, verdeutlicht vielleicht folgende Frage: Wissen Sie, aus welchem Stahlwerk das Material für die Karosserie Ihres Autos kommt? Oder wer den TCP/IP-Stack in der Steuerung der Walzstraße des Werks gebaut hat? Oder das Browser-Interface Ihrer smarten Webcam? Vermutlich nicht. Und das ist auch in Ordnung. Anders sieht es aus, wenn Sie zufällig Betreiber einer großen Industrieanlage oder eines Kraftwerks sind. Dann wissen Sie meistens, wer der Hersteller der Geräte ist, die sowohl in die IT als auch in der OT Verwendung finden. Diese Hersteller kaufen allerdings oft selbst Technologien zu. Diese Vorgehen ist absolut üblich, denn es will ja keiner ständig das Rad neu erfinden.

Lieferketten - ein blinder Fleck in der Sicherheit

Interessant – und damit relevant – wird es für Hersteller und Kunden, wenn eine der zugelieferten Komponenten einen Fehler aufweist. Vor allem dann, wenn es um die Sicherheit geht. Was aber, wenn die betroffene Komponente so weit verbreitet ist, dass man überhaupt nicht genau sagen kann, wo sie überhaupt drinsteckt? Und was, wenn es überhaupt keine Möglichkeit gibt, Updates durchzuführen?
Dann ist guter Rat im wahrsten Sinne des Wortes teuer. Genau das ist jetzt passiert: Insgesamt 19 verschiedene Sicherheitslücken, zusammengefasst unter der Bezeichnung „Ripple20“ (engl.: ripple = Wellenschlag) in einem weit verbreiteten TCP/IP-Stack reißen riesige Löcher in die Sicherheitskonzepte von Betrieben in aller Welt. Teilweise ermöglichen die entdeckten Schwachstellen auch das Einschleusen von fremdem Programmcode, der dann sich dann auf dem angegriffenen Gerät ausgeführen lässt. Schätzungen von JSOF (das Unternehmen, welches Ripple20 bekannt gemacht hat) zur Folge könnten weltweit mehr Hunderte Millionen Geräte betroffen sein. Alle Informationen sind auf der JSOF-Webseite zusammengefasst.

Was ist der Unterschied zwischen "IT" und "OT"?

Was IT ist, wissen die meisten. Das sind die Rechner, mit denen wir alle tagtäglich arbeiten. Doch auch Produktionsanlagen sind computergesteuert – von der so genannten OT, kurz für „Operational Technology“. Hier sitzt nicht dauerhaft ein Mensch, der die Arbeit unmittelbar koordiniert und überwacht.  Man könnte etwas flapsig und stark vereinfach sagen „Wenn es keinen Bildschirm, keine Tastatur und keine Maus hat und alles automatisch läuft, ist es OT“. In dieser Welt außerhalb des Büros stehen Steuercomputer wie etwa speicherprogrammierbare Steuerungen (SPS). Jeder von uns hat auch im Alltag mit diesen stummen Dienern zu tun – etwa in Rolltreppen, Aufzügen oder der wetterabhängigen Steuerung von Rollläden. Sie besteht aus Sensoren und Aktoren und erfüllt einfache Aufgaben: „Wenn der Druck in der Leitung X einen Wert Y überschreitet, dann öffne Ventil Z“. Anders als in der klassischen IT ist Sicherheit allerdings erst seit kurzem Bestandteil der OT. Und die Geräte und Programme sind teilweise darauf ausgelegt, Jahrzehntelang zu laufen. Deshalb lässt sich OT nicht genau so behandeln wie IT.

 

Updates sind eine Herausforderung

Egal ob Industrieanlage, medizinisches Gerät oder smarte Lampe: Viele Geräte sind vernetzt. Sie befinden sich zum Teil in Gefahrenbereichen, die nicht leicht zugänglich sind. Die Systeme erhalten Daten von Sensoren und steuern Motoren und Ventile. Jemand, der Zugriff auf diese Systeme hat, kann eine Menge Schaden anrichten und sogar Menschenleben gefährden.
Updates sind bei aber vielen dieser Geräte und Maschinen nur in sehr langen Abständen möglich – wenn überhaupt. Produktionsanlagen laufen meistens im Dauerbetrieb und werden oft aus Kosten-und Effizienzgründen nur einmal im Jahr heruntergefahren, um Wartungs- und Reinigungsarbeiten durchzuführen. Alle Aufgaben, für die die Maschinen heruntergefahren werden müssen, konzentrieren sich auf diese wenigen Tage oder Stunden im Jahr. Ähnlich verhält es sich mit medizinischen Geräten wie CT- oder MRT-Scannern, aber auch Narkose- und Beatmungsmaschinen, die zu Dokumentationszwecken über das Netzwerk Informationen über verabreichte Medikamentendosen übertragen.

Updates nur einmal im Jahr beim Rechner zuhause, im Büro oder beim Smartphone? Fast undenkbar, aber in der Industrie und Medizin ist das die Regel. Und nicht nur dort: Auch im Internet of Things herrschen teils ähnliche Verhältnisse. Hinzu kommt, dass in diesen Bereichen Geräte wesentlich länger in Gebrauch sind. Eine Betriebsdauer von 15 Jahren und mehr ist in der Industrie die Regel. Und auch ein IoT-Gerät wird nicht unbedingt regelmäßig aktualisiert oder ausgetauscht. Gerade im Niedrigpreissegment kommen Updates sehr oft zu kurz. Hier kranken Privatanwender und Industrie am selben grundsätzlichen Problem. Kaum ein Hausbesitzer dürfte einem Zwei-oder Dreijahresturnus sämtliche Heimautomationssysteme ersetzen, und auch Industrieanlagen werden nie in einem solchen Turnus ersetzt. 
Manchmal existieren Herstellerfirmen bereits nicht mehr, wurden aufgekauft oder der Support für einzelne Geräte wurde vor langer Zeit eingestellt. So ist vielleicht noch nicht einmal bekannt, ob ein bestimmtes Gerät überhaupt anfällig für eine neu entdeckte Sicherheitslücke aus der Ripple20-Sammlung ist – und ob überhaupt Hoffnung auf ein Update besteht, das die Schwachstellen behebt.

Isolation als Gegenmaßnahme

Fälle, in denen ein Update einer Sicherheitsschwachstelle überhaupt nicht möglich ist, gab es in der Vergangenheit schon. So musste der deutsche Hersteller ABUS feststellen, dass eine Sicherheitslücke in einer netzwerkfähigen Kamera nicht mehr zu beheben war. Der Grund: Das benötigte Entwicklungs-Werkzeug kam von einem Zulieferer, der nicht mehr geschäftlich tätig und somit nicht mehr greifbar war. Es blieb nur, Kunden einen Neukauf zu einem stark vergünstigten Preis nahezulegen.
Ein Neukauf ist aber in den meisten Fällen von verwundbarer Industrie-Hardware keine Option – hier bleibt nur langes Warten und die Hoffnung, dass Hersteller zeitnah ein passendes Firmware-Update bereitstellen. Und so lange kann ein Unternehmen nur Vorkehrungen treffen, um potenziell angreifbare Systeme vom Rest des Netzes zu isolieren. Sofern ein Gerät nicht unbedingt über das Netzwerk erreichbar sein muss, ist es ratsam, die entsprechenden Funktionen und Features zu deaktivieren. Das gilt für Industrieanlagen ebenso wie für betroffene IoT-Geräte in Privathaushalten.

Diese Isolation ist eine der wenigen Maßnahmen, die den Schaden im Falle eines Angriffs begrenzen kann. Dieser Empfehlung schließt sich neben JSOF auch Netzhardware-Hersteller Cisco in einem Statement auf ihrer Webseite an. Da in vielen Betrieben die Produktionsmaschinen im selben Netzwerk stehen wie die Büro-IT kann eine Schwachstelle eine ganze Fabrik lahmlegen. Auch dafür gibt es Beispiele aus der Vergangenheit, wie etwa den Vorfall beim Chiphersteller TSMC im Jahr 2018 (Link öffnet sich in einem neuen Fenster). Wir erinnern uns: Als dieser Vorfall passierte, war WannaCry bereits ein Jahr bekannt und auch die Gegenmaßnahmen waren allgemein bekannt.

Fazit

Die Maßnahmen zur Prävention von Vorfällen sind also ebenfalls nicht neu – aber es ist bei unentdeckten und nicht behebbaren "Forever-Day"- Sicherheitslücken um so wichtiger, sie auch wirklich umzusetzen. Denn es ist nur eine Frage der Zeit, bis die Schwachstellen für schwerwiegende und folgenreiche Angriffe ausgenutzt werden. 

Tim Berghoff
Security Evangelist