home Herstellungstechnologie Produktionsanlagen
Industrielle Fertigung
Industrielles Internet der Dinge | Industrielle Materialien | Gerätewartung und Reparatur | Industrielle Programmierung |
home  MfgRobots >> Industrielle Fertigung >  >> Industrial Internet of Things >> Internet der Dinge-Technologie

Ripple20:Kritische Sicherheitslücken könnten Ihre IoT-/OT-Geräte gefährden

Cybersicherheitsforscher von JSOF haben gerade eine Reihe von 19 Schwachstellen namens Ripple20 veröffentlicht, die sich auf den von Treck entwickelten TCP/IP-Stack auswirken. Dieser Software-Stack ist in Millionen von Systemen integriert, die in den Bereichen Gesundheitswesen, Transport, Fertigung, Telekommunikation und Energie verwendet werden und möglicherweise eine sehr große Anzahl von Organisationen und kritischen Branchen betreffen.

Die Schwachstellen ähneln den 2019 veröffentlichten Urgent/11-Schwachstellen und wirken sich auf den von Interpeak entwickelten TCP/IP-Stack aus. Wie bei Urgent/11 ermöglichen die Ripple20-Schwachstellen Angreifern, Remotecodeausführung und Denial-of-Service (DoS) auszulösen. Viele Anbieter wie HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter und andere haben bereits bestätigt, dass sie von Ripple20 betroffen sind.

Die für industrielle Umgebungen entwickelten Cisco IoT-Lösungen sind von Ripple20 nicht betroffen. Tatsächlich helfen Produkte wie Cisco Cyber ​​Vision und die Cisco Industrial Security Appliance ISA3000 zusammen mit Snort-Signaturen von Cisco Talos dabei, Ripple20-Schwachstellen in Ihrem Netzwerk zu identifizieren und Risiken zu beheben. Einige Cisco-Produkte sind anfällig, und Sie können die offizielle Cisco-Empfehlung hier lesen.

Treck wurde 1997 gegründet und entwickelt Protokollstacks für Echtzeit-Embedded-Systeme. Sie wird von vielen Geräteherstellern verwendet, da diese Software eine optimierte Leistung für IoT-Geräte bietet, die beispielsweise typischerweise über begrenzten Speicher oder begrenzte Rechenleistung verfügen. Es wird in Form eines Quellcodes verkauft, wodurch es für Anbieter einfach ist, nur die gewünschten Protokollschichten zu integrieren und für bestimmte Anwendungen zu modifizieren.

Je nachdem, wie Hersteller diese Bibliotheken spezialisiert und integriert haben, können sie daher praktisch unidentifizierbar werden. Darüber hinaus könnten einige Hersteller im Zuge der Übernahme der Hersteller den Überblick über diese Softwarekomponente verloren haben, was es ziemlich schwierig – wenn nicht unmöglich – macht, betroffene Produkte zu identifizieren.

Ein weiterer wichtiger Fakt ist die vergangene Zusammenarbeit zwischen Treck und dem japanischen Unternehmen Elmic System (heute Zuken Elmic). Diese Zusammenarbeit führte zu zwei ähnlichen TCP/IP-Stacks, die von jedem Herausgeber unabhängig verwaltet und in verschiedenen Regionen verkauft wurden, einer auf dem US-Markt und einer auf dem asiatischen Markt. Mehrere Ripple20-Schwachstellen wirken sich auch auf den von Zuken Elmic verwalteten TCP/IP-Stack aus.

Adressiere Ripple20 schnell!

Ripple20 besteht aus einer Reihe von 19 Schwachstellen. Vier von ihnen sind kritisch mit Werten über 9 in der CVSS-Schwereskala. Diese sollten schnell angegangen werden, da sie für willkürliche Remotecodeausführung, Denial-of-Service-Angriffe und die Offenlegung von Informationen ausgenutzt werden können.

CVE-2020-11901 ist wahrscheinlich die schwerste Sicherheitslücke. Sie kann durch die Beantwortung einer DNS-Anfrage des Geräts ausgelöst werden und kann zu einer Remotecodeausführung führen. Da DNS-Anfragen im Allgemeinen das Netzwerk verlassen, können sie leicht abgefangen werden, um einem Angreifer einen Weg einzuschlagen. Darüber hinaus ist das Paket, das zur Ausnutzung dieser Sicherheitsanfälligkeit gesendet wird, mit verschiedenen RFCs konform, was es einer Firewall erschwert, den Angriff zu erkennen.

Dies ist nur ein Beispiel. Die vollständige Liste der Ripple20-Schwachstellen und deren Beschreibungen finden Sie hier auf der JSOF-Website.

Erkennen von Ripple20 in Ihren IoT/OT-Netzwerken

JSOF schätzt, dass mehrere Milliarden Geräte von den Ripple20-Schwachstellen betroffen sein könnten, da viele Anbieter den TCP/IP-Protokollstapel von Treck ganz oder teilweise in die von ihnen entwickelten Systeme integriert haben. Eine Liste der betroffenen Anbieter wurde vom CISA ICS-CERT erstellt und kann hier eingesehen werden.

Während weitere Details und die Liste der betroffenen Anbieter bekannt werden, können einige Schritte unternommen werden, um diese Schwachstellen zu identifizieren und vor ihnen zu schützen.

Da Anbieter Sicherheitshinweise veröffentlichen, um zu ermitteln, welche ihrer Produkte betroffen sind, wird Cisco die Wissensdatenbank von Cyber ​​Vision weiterhin aktualisieren, damit Ihre betroffenen Assets erkannt werden können. Cisco Cyber ​​Vision ist eine Lösung, die speziell entwickelt wurde, um Angriffe auf IoT/OT-Geräte zu erkennen. Es deckt automatisch die kleinsten Details Ihrer Industrienetzwerke auf und erstellt ein umfassendes Asset-Inventar, das bekannte Schwachstellen wie Ripple20 hervorhebt.

Die Wissensdatenbank von Cyber ​​Vision wird regelmäßig aktualisiert und steht allen Cyber ​​Vision-Kunden kostenlos zur Verfügung. Wenn Sie dies noch nicht getan haben, empfehlen wir Ihnen, die neueste Version noch heute zu installieren, indem Sie sie hier herunterladen.

Aufgrund der Natur der Ripple20-Schwachstellen und der betroffenen Gerätetypen können Sie möglicherweise nicht in der Lage sein, anfällige Assets zu patchen – oder Sie wissen möglicherweise nie, dass einige Assets anfällig sind. Um Sie zu schützen, können Sie einige alternative Maßnahmen ergreifen.

So schützen Sie sich sofort

Kurzfristig können Sie Ihre Intrusion Detection-Systeme (IDS) nutzen, um Versuche, diese Schwachstellen auszunutzen, zu erkennen und zu warnen. Cisco Cyber ​​Vision kann mit der SNORT IDS-Engine konfiguriert werden, die von Cisco Talos entwickelte Regeln nutzt. Die Cisco Industrial Security Appliance ISA3000 bietet das gleiche IDS sowie die Möglichkeit, diese Verhaltensweisen und vieles mehr zu blockieren, und das alles in einem robusten Formfaktor, der direkt neben den zu schützenden Industriegeräten bereitgestellt werden kann.

Der ISA3000 ist auch ideal geeignet, um Ihre industriellen Netzwerke zu segmentieren und Assets zu isolieren, die nicht miteinander kommunizieren müssen. Dadurch wird sichergestellt, dass ein potenzieller Angriff eingedämmt werden kann und sich nicht auf das gesamte Netzwerk ausbreitet.

JSOF hat viele andere Korrekturempfehlungen bereitgestellt, die Sie auch mit dem ISA3000 implementieren können. Dazu gehören die Möglichkeit, IP-Fragmente zu blockieren, IP in IP-Tunneling zu blockieren, fehlerhafte TCP-Pakete abzulehnen, nicht verwendete ICMP-Nachrichten zu blockieren, DHCP-Datenverkehr einzuschränken und unerwartete und nicht erforderliche Kommunikationen und Protokolle in der Umgebung einzuschränken.

Um mehr darüber zu erfahren, wie Cisco Sie bei der Absicherung Ihres industriellen Netzwerks unterstützen kann, besuchen Sie bitte den IoT Security Hub oder kontaktieren Sie uns, um Ihre Herausforderungen für die industrielle IoT-Sicherheit zu besprechen.


Internet der Dinge-Technologie

  • Eingebettet
  • Sensor
  • Cloud Computing
  • Internet der Dinge-Technologie
    1. Ein intelligenterer Speicher für IoT-Geräte
    2. IoT bietet weltweite Vorteile
    3. Anwendungsschwachstellen machen IoT-Geräte angreifbar
    4. Die zunehmende Akzeptanz von IoT-Geräten ist das größte Cybersicherheitsrisiko
    5. 7 wichtige Tipps, um Ihr IoT-Netzwerk zu Hause betriebsbereit und sicher zu halten
    6. Ist Ihr System bereit für IoT?
    7. Seien Sie schlau mit Ihrem IoT-Dollar
    8. IoT und Ihr Verständnis von Daten
    9. Die Herausforderungen beim Softwaretesten von IOT-Geräten
    10. Sicherheit mit intelligenten Geräten und IoT