Amnesia:33

[Haspelbein]

Als Amnesia:33 wird ein Fehler einiger Open-Source TCP/IP stacks bezeichnet, oder besser eine ganze Sammlung von Exploits, die Open Source TCP/IP stacks betreffen. Zuerst hört sich das wahrscheinlich trivial an, allerdings wird es bei IoT Geräten wie Routern, Smart-Speakern, oder auch Thermostaten, Türklingeln, Kameras und Geräte im Haushalt problematisch, die auf Open-Source Betriebssystemen aufgebaut sind, besonders, da sie generell so gut wie keine Updates erhalten.

Konkrete Fälle sind bisher nur sehr begrenzt bekannt, aber das sollte nur eine Frage der Zeit sein, denn ausser einer Auswechslung des Gerätes sind diese Schwachstellen eigentlich nicht mitigierbar, es sei denn, man ersetzt diese Geräte in seinem Smart-Home.

Wie schon gesagt, die Gefahr besteht wahrscheinlich nicht unmittelbar, aber man kann sich schon mal vorbereiten. Eine deutsche Quelle habe ich noch nicht gefunden, aber hier ist das [Links nur für registrierte Nutzer].

[Mandarine]

INFO von AVM

Amnesie: 33 - AVM-Produkte nicht betroffen Eine Reihe von Sicherheitslücken im TCP / IP-Stack, bekannt als "Amnesia: 33", wurde kürzlich in mehreren vernetzten Geräten entdeckt. Geräte von AVM sind nicht betroffen. Da jede neue Version von FRITZ! OS aktualisierte Sicherheitsfunktionen enthält, empfehlen wir dringend, immer das neueste Update auf alle Geräte zu laden.

Ich weiß nicht wie es allgemein mit Router aussieht die das EOL erreicht haben. Fakt ist, der Angreifer muss direkt Datenpakete an das betroffene Gerät schicken können. Sind die Ports also zu, erricht man auch nicht z.B. den Netzwerk-Heizregler.

ps .. UPNP & IPV6 auf jeden Fall abschalten.

[Haspelbein]

INFO von AVM

Amnesie: 33 - AVM-Produkte nicht betroffen Eine Reihe von Sicherheitslücken im TCP / IP-Stack, bekannt als "Amnesia: 33", wurde kürzlich in mehreren vernetzten Geräten entdeckt. Geräte von AVM sind nicht betroffen. Da jede neue Version von FRITZ! OS aktualisierte Sicherheitsfunktionen enthält, empfehlen wir dringend, immer das neueste Update auf alle Geräte zu laden.

Ich weiß nicht wie es allgemein mit Router aussieht die das EOL erreicht haben. Fakt ist, der Angreifer muss direkt Datenpakete an das betroffene Gerät schicken können. Sind die Ports also zu, erricht man auch nicht z.B. den Netzwerk-Heizregler.

ps .. UPNP & IPV6 auf jeden Fall abschalten.

Das Problem besteht darin, dass viele Produkte (Kameras, Thermostate,usw.) eben mit externen Servern kommunizieren. Diese Ports sind dann leider eben nicht zu. Im Prinzip ist das eine neue Schwachstelle im Grundproblem des IoT.

[truthCH]

Das Problem besteht darin, dass viele Produkte (Kameras, Thermostate,usw.) eben mit externen Servern kommunizieren. Diese Ports sind dann leider eben nicht zu. Im Prinzip ist das eine neue Schwachstelle im Grundproblem des IoT.

Die bauen aber die Verbindung auf und beantworten sie nicht im Sinne eines Service/Servers. Auch die ganzen Push Benachrichtigungen basieren auf diesem Prinzip, erst wenn die Verbindung steht, welche vom Client gestartet wird, kann der Server dann auf diesem Kanal senden/empgangen zu diesem Gerät.

Entsprechend sind diese Ports schon zu - und wenn Du Dir Sorgen machst betreffend dieses Servers, denen lieferst Du den Kanal eh schon aus.

[Haspelbein]

Die bauen aber die Verbindung auf und beantworten sie nicht im Sinne eines Service/Servers. Auch die ganzen Push Benachrichtigungen basieren auf diesem Prinzip, erst wenn die Verbindung steht, welche vom Client gestartet wird, kann der Server dann auf diesem Kanal senden/empgangen zu diesem Gerät.

Entsprechend sind diese Ports schon zu - und wenn Du Dir Sorgen machst betreffend dieses Servers, denen lieferst Du den Kanal eh schon aus.

Wenn man das Konzept von "Mirai" anwendet, so fängt es mit einem asymptomatischen infizierten PC auf dem Heimnetzwerk an, der widerum die IoT Geräte infiziert, die dann zu einer Art Botnet werden, die dann direkt mit externen Servern kommunizieren, und zwar über die gleichen Ports, die zur regulären Funktion der Geräte freigeschaltet wurden.

[truthCH]

Wenn man das Konzept von "Mirai" anwendet, so fängt es mit einem asymptomatischen infizierten PC auf dem Heimnetzwerk an, der widerum die IoT Geräte infiziert, die dann zu einer Art Botnet werden, die dann direkt mit externen Servern kommunizieren, und zwar über die gleichen Ports, die zur regulären Funktion der Geräte freigeschaltet wurden.

Ja, mit Geräten die eine eigene Verwaltungsoberfläche haben sehe ich das (Webcams, etc.) - aber zum Beispiel bei meiner Haussteuerung ist das nicht möglich, weil die Endgeräte keine eigene Verwaltungsoberfläche haben, sondern über DHCP "Magic Flags" (Option 234) gesteuert werden. Sprich die Geräte holen sich per DHCP den Server und bauen dann eine Verbindung zum Server auf nicht umgekehrt. Wenn natürlich der Server kompromittiert wird ist auch das angreifbar, ohne Frage - aber wenn jemand den Server knackt, steht der sowieso schon voll im Netz und kann damit diesen Brückenkopf immer weiter ausbauen.

[Ansuz]

Mußte wirklich schmunzeln, als ich [Links nur für registrierte Nutzer] las:

“One thing that IoT users need to be aware of is that many of the devices on the market and used in their homes will or have already passed the maintenance guarantee period offered by the manufacturer,” Cipot says. “In other words, the difficulty is in ensuring that devices are patched, particularly for any low cost/high volume product. This same concern also applies to license conflict issues that may surface in the software.”


He notes that the only solution to address such issues is by addressing them before releasing the products into the market. Otherwise, users and organizations “will have to proactively adopt preventative measures themselves.”

[Haspelbein]

Mußte wirklich schmunzeln, als ich [Links nur für registrierte Nutzer] las:

Prinzpiell ist das bei vielen IoT Geräten so, d.h. sie haben keine echte Konfigurationsmöglichkeit, jetzt mal egal, ob es sich um einen TCP/IP stack, Z-Wave oder Blutooth handelt. Daher auch ebenso schwierig zu erkennen, ob oder in welch einem Ausmass hier eine konkrete Gefahr besteht.

[Haspelbein]

Der [Links nur für registrierte Nutzer] (englische Quelle) berichtet, dass das FBI vor "Swatting" Attacken warnt, bei dem IoT Kameras zum Live-Streaming der Polizeieinsätze verwendet werden. Als "Swatting" wird die Methode bezeichnet, fälschlicherweise Verbrechen zu melden, bei deren Bekämpfung Spezialkräfte der Polizei zum Einsatz kommen. Ich schau mal, ob ich den Artikel des FBI selbst finde.

Der Benachrichtigung des [Links nur für registrierte Nutzer]. Es ist kein echter Hack, sondern Nutzer hatten Email Passwörter bei der Konfiguration der Kameras verwendet. Die Email-Passwörter wurden geleakt.

[Bolle]

Cyberangriff auf die USA eskaliert immer weiter

Mittlerweile gelten de facto alle großen US-Netzwerke als potenziell kompromittiert.
Momentan läuft die Suche nach einem zweiten Angriffsvektor neben den Systemen von SolarWinds.

Von [Links nur für registrierte Nutzer]
Das von einem einem Cyberangriff schwer getroffene Unternehmen SolarWinds hat zwei der bekanntesten Experten für Cybersicherheit engagiert. Alex Stamos, dem Ex-Sicherheitschef von Facebook und Professor an der Universität Stanford sowie dem von Donald Trump zuletzt gefeuerten Direktor der US-Cybersicherheitsagentur (CISA) Chris Krebs steht eine gigantische Aufgabe bevor.
Die monatelang mit Schadsoftware verseuchten Kontrollsysteme von Solarwinds stehen an den neuralgischen Punkten von 18.000 der größten Netzwerke vorwiegend in den USA, etwa zehn US-Ministerien und Behörden wurden nachweislich bereits angegriffen. Zuletzt kam das Aktenlaufsystem des Justizministeriums für die US-weite Gerichtsbarkeit dazu. Am Mittwoch erweiterte die CISA ihren Warnungskatolog, denn das ist keine gewöhnliche Spionageaktion, sondern ein skalierender Cyberangriff mit dem höchsten bisher bekannten Bedrohungspotential.

weiter auf: [Links nur für registrierte Nutzer]