Als Amnesia:33 wird ein Fehler einiger Open-Source TCP/IP stacks bezeichnet, oder besser eine ganze Sammlung von Exploits, die Open Source TCP/IP stacks betreffen. Zuerst hört sich das wahrscheinlich trivial an, allerdings wird es bei IoT Geräten wie Routern, Smart-Speakern, oder auch Thermostaten, Türklingeln, Kameras und Geräte im Haushalt problematisch, die auf Open-Source Betriebssystemen aufgebaut sind, besonders, da sie generell so gut wie keine Updates erhalten.

Konkrete Fälle sind bisher nur sehr begrenzt bekannt, aber das sollte nur eine Frage der Zeit sein, denn ausser einer Auswechslung des Gerätes sind diese Schwachstellen eigentlich nicht mitigierbar, es sei denn, man ersetzt diese Geräte in seinem Smart-Home.

Wie schon gesagt, die Gefahr besteht wahrscheinlich nicht unmittelbar, aber man kann sich schon mal vorbereiten. Eine deutsche Quelle habe ich noch nicht gefunden, aber hier ist das englische Original (https://www.forescout.com/company/blog/amnesia33-forescout-research-labs-finds-33-new-vulnerabilities-in-open-source-tcp-ip-stacks/).

INFO von AVM

Amnesie: 33 - AVM-Produkte nicht betroffen Eine Reihe von Sicherheitslücken im TCP / IP-Stack, bekannt als "Amnesia: 33", wurde kürzlich in mehreren vernetzten Geräten entdeckt. Geräte von AVM sind nicht betroffen. Da jede neue Version von FRITZ! OS aktualisierte Sicherheitsfunktionen enthält, empfehlen wir dringend, immer das neueste Update auf alle Geräte zu laden.

Ich weiß nicht wie es allgemein mit Router aussieht die das EOL erreicht haben. Fakt ist, der Angreifer muss direkt Datenpakete an das betroffene Gerät schicken können. Sind die Ports also zu, erricht man auch nicht z.B. den Netzwerk-Heizregler.

ps .. UPNP & IPV6 auf jeden Fall abschalten.

INFO von AVM

Amnesie: 33 - AVM-Produkte nicht betroffen Eine Reihe von Sicherheitslücken im TCP / IP-Stack, bekannt als "Amnesia: 33", wurde kürzlich in mehreren vernetzten Geräten entdeckt. Geräte von AVM sind nicht betroffen. Da jede neue Version von FRITZ! OS aktualisierte Sicherheitsfunktionen enthält, empfehlen wir dringend, immer das neueste Update auf alle Geräte zu laden.

Ich weiß nicht wie es allgemein mit Router aussieht die das EOL erreicht haben. Fakt ist, der Angreifer muss direkt Datenpakete an das betroffene Gerät schicken können. Sind die Ports also zu, erricht man auch nicht z.B. den Netzwerk-Heizregler.

ps .. UPNP & IPV6 auf jeden Fall abschalten.

Das Problem besteht darin, dass viele Produkte (Kameras, Thermostate,usw.) eben mit externen Servern kommunizieren. Diese Ports sind dann leider eben nicht zu. Im Prinzip ist das eine neue Schwachstelle im Grundproblem des IoT.

Das Problem besteht darin, dass viele Produkte (Kameras, Thermostate,usw.) eben mit externen Servern kommunizieren. Diese Ports sind dann leider eben nicht zu. Im Prinzip ist das eine neue Schwachstelle im Grundproblem des IoT.

Die bauen aber die Verbindung auf und beantworten sie nicht im Sinne eines Service/Servers. Auch die ganzen Push Benachrichtigungen basieren auf diesem Prinzip, erst wenn die Verbindung steht, welche vom Client gestartet wird, kann der Server dann auf diesem Kanal senden/empgangen zu diesem Gerät.

Entsprechend sind diese Ports schon zu - und wenn Du Dir Sorgen machst betreffend dieses Servers, denen lieferst Du den Kanal eh schon aus.

Die bauen aber die Verbindung auf und beantworten sie nicht im Sinne eines Service/Servers. Auch die ganzen Push Benachrichtigungen basieren auf diesem Prinzip, erst wenn die Verbindung steht, welche vom Client gestartet wird, kann der Server dann auf diesem Kanal senden/empgangen zu diesem Gerät.

Entsprechend sind diese Ports schon zu - und wenn Du Dir Sorgen machst betreffend dieses Servers, denen lieferst Du den Kanal eh schon aus.

Wenn man das Konzept von "Mirai" anwendet, so fängt es mit einem asymptomatischen infizierten PC auf dem Heimnetzwerk an, der widerum die IoT Geräte infiziert, die dann zu einer Art Botnet werden, die dann direkt mit externen Servern kommunizieren, und zwar über die gleichen Ports, die zur regulären Funktion der Geräte freigeschaltet wurden.

Wenn man das Konzept von "Mirai" anwendet, so fängt es mit einem asymptomatischen infizierten PC auf dem Heimnetzwerk an, der widerum die IoT Geräte infiziert, die dann zu einer Art Botnet werden, die dann direkt mit externen Servern kommunizieren, und zwar über die gleichen Ports, die zur regulären Funktion der Geräte freigeschaltet wurden.

Ja, mit Geräten die eine eigene Verwaltungsoberfläche haben sehe ich das (Webcams, etc.) - aber zum Beispiel bei meiner Haussteuerung ist das nicht möglich, weil die Endgeräte keine eigene Verwaltungsoberfläche haben, sondern über DHCP "Magic Flags" (Option 234) gesteuert werden. Sprich die Geräte holen sich per DHCP den Server und bauen dann eine Verbindung zum Server auf nicht umgekehrt. Wenn natürlich der Server kompromittiert wird ist auch das angreifbar, ohne Frage - aber wenn jemand den Server knackt, steht der sowieso schon voll im Netz und kann damit diesen Brückenkopf immer weiter ausbauen.

Ja, mit Geräten die eine eigene Verwaltungsoberfläche haben sehe ich das (Webcams, etc.) - aber zum Beispiel bei meiner Haussteuerung ist das nicht möglich, weil die Endgeräte keine eigene Verwaltungsoberfläche haben, sondern über DHCP "Magic Flags" (Option 234) gesteuert werden. Sprich die Geräte holen sich per DHCP den Server und bauen dann eine Verbindung zum Server auf nicht umgekehrt. Wenn natürlich der Server kompromittiert wird ist auch das angreifbar, ohne Frage - aber wenn jemand den Server knackt, steht der sowieso schon voll im Netz und kann damit diesen Brückenkopf immer weiter ausbauen.

Korrekt. Es stimmt auch, dass die IoT-Software bzw. WLAN-SoCs mit integriertem TCP/IP-Stack betroffen ist. Allerdings wie Du schon gut angedeutet hast, der Server baut ja die Verbindung über den eigenen TCP/IP-Stack von z.B. Debian/CentOS auf.

Anfälligkeiten für Denial-of-Service-Angriffe, den Diebstahl von Informationen, DNS-Cache-Poisoning-Attacken und sogar das Einschleusen und Ausführen von Schadcode aus der Ferne wäre also nur möglich, wenn der Server selbst kompromittiert wurde.

Aber, da ich solche Geräte nicht besitze/nutze und auch nicht weiß wie gut sich die IoT-Software konfigurieren lässt, könnte meine Theorie auch so ziemlich daneben liegen. :hmm:

Ja, mit Geräten die eine eigene Verwaltungsoberfläche haben sehe ich das (Webcams, etc.) - aber zum Beispiel bei meiner Haussteuerung ist das nicht möglich, weil die Endgeräte keine eigene Verwaltungsoberfläche haben, sondern über DHCP "Magic Flags" (Option 234) gesteuert werden. Sprich die Geräte holen sich per DHCP den Server und bauen dann eine Verbindung zum Server auf nicht umgekehrt. Wenn natürlich der Server kompromittiert wird ist auch das angreifbar, ohne Frage - aber wenn jemand den Server knackt, steht der sowieso schon voll im Netz und kann damit diesen Brückenkopf immer weiter ausbauen.


Korrekt. Es stimmt auch, dass die IoT-Software bzw. WLAN-SoCs mit integriertem TCP/IP-Stack betroffen ist. Allerdings wie Du schon gut angedeutet hast, der Server baut ja die Verbindung über den eigenen TCP/IP-Stack von z.B. Debian/CentOS auf.

Anfälligkeiten für Denial-of-Service-Angriffe, den Diebstahl von Informationen, DNS-Cache-Poisoning-Attacken und sogar das Einschleusen und Ausführen von Schadcode aus der Ferne wäre also nur möglich, wenn der Server selbst kompromittiert wurde.

Aber, da ich solche Geräte nicht besitze/nutze und auch nicht weiß wie gut sich die IoT-Software konfigurieren lässt, könnte meine Theorie auch so ziemlich daneben liegen. :hmm:




Stimmt, die meisten IoT Geräte haben einen TCP/IP Stack, der auf ihren externen Server ausgerichtet ist. Bei mir zuhaus ist jedoch eine Steuerungseinheit am LAN, die diese IoT Geräte über Z-Wave steuert. Ebenso sieht es bei einigen anderen Geräten, wie z.B dem Soundbar meines Fernsehers aus. Allerdings muss ich zu meiner Schande gestehen, dass ich wenig darüber weiss, was für Angriffsmöglichkeiten diese Geräte, besonders bei den Z-Wave Protokollen bieten.

Mußte wirklich schmunzeln, als ich das (https://www.cpomagazine.com/cyber-security/millions-of-smart-devices-affected-by-vulnerabilities-in-the-firmwares-networking-open-source-libraries/) las:

“One thing that IoT users need to be aware of is that many of the devices on the market and used in their homes will or have already passed the maintenance guarantee period offered by the manufacturer,” Cipot says. “In other words, the difficulty is in ensuring that devices are patched, particularly for any low cost/high volume product. This same concern also applies to license conflict issues that may surface in the software.”


He notes that the only solution to address such issues is by addressing them before releasing the products into the market. Otherwise, users and organizations “will have to proactively adopt preventative measures themselves.”

:D

Mußte wirklich schmunzeln, als ich das (https://www.cpomagazine.com/cyber-security/millions-of-smart-devices-affected-by-vulnerabilities-in-the-firmwares-networking-open-source-libraries/) las:

:D

Prinzpiell ist das bei vielen IoT Geräten so, d.h. sie haben keine echte Konfigurationsmöglichkeit, jetzt mal egal, ob es sich um einen TCP/IP stack, Z-Wave oder Blutooth handelt. Daher auch ebenso schwierig zu erkennen, ob oder in welch einem Ausmass hier eine konkrete Gefahr besteht.

Der BBC (https://www.bbc.com/news/technology-55499164) (englische Quelle) berichtet, dass das FBI vor "Swatting" Attacken warnt, bei dem IoT Kameras zum Live-Streaming der Polizeieinsätze verwendet werden. Als "Swatting" wird die Methode bezeichnet, fälschlicherweise Verbrechen zu melden, bei deren Bekämpfung Spezialkräfte der Polizei zum Einsatz kommen. Ich schau mal, ob ich den Artikel des FBI selbst finde.

Der Benachrichtigung des FBI ist hier zu finden (https://www.ic3.gov/Media/Y2020/PSA201229). Es ist kein echter Hack, sondern Nutzer hatten Email Passwörter bei der Konfiguration der Kameras verwendet. Die Email-Passwörter wurden geleakt.

Cyberangriff auf die USA eskaliert immer weiter

Mittlerweile gelten de facto alle großen US-Netzwerke als potenziell kompromittiert.
Momentan läuft die Suche nach einem zweiten Angriffsvektor neben den Systemen von SolarWinds.

Von Erich Moechel (http://fm4.orf.at/tags/erichmoechel)
Das von einem einem Cyberangriff schwer getroffene Unternehmen SolarWinds hat zwei der bekanntesten Experten für Cybersicherheit engagiert. Alex Stamos, dem Ex-Sicherheitschef von Facebook und Professor an der Universität Stanford sowie dem von Donald Trump zuletzt gefeuerten Direktor der US-Cybersicherheitsagentur (CISA) Chris Krebs steht eine gigantische Aufgabe bevor.
Die monatelang mit Schadsoftware verseuchten Kontrollsysteme von Solarwinds stehen an den neuralgischen Punkten von 18.000 der größten Netzwerke vorwiegend in den USA, etwa zehn US-Ministerien und Behörden wurden nachweislich bereits angegriffen. Zuletzt kam das Aktenlaufsystem des Justizministeriums für die US-weite Gerichtsbarkeit dazu. Am Mittwoch erweiterte die CISA ihren Warnungskatolog, denn das ist keine gewöhnliche Spionageaktion, sondern ein skalierender Cyberangriff mit dem höchsten bisher bekannten Bedrohungspotential.

weiter auf: https://fm4.orf.at/stories/3010878/?utm_source=pocket-newtab-global-de-DE

Das hänge ich mal hier an.


Ethical hacker Alex Birsan discovered a method (https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610) to inject malicious dependency packages into commonly used open-source developer tools.


The exploit method affects several programming languages depending on the package manager to install dependencies into projects using public repositories.
Supply chain attack affects 35 companiesBirsan’s hacking method, called dependency confusion, allowed him to exploit 35 companies, including Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, and Uber in a supply chain attack.



Injecting malicious code into internal codebases allows an attacker to propagate through a company’s internal applications and systems.


“Squatting valid internal package names was a nearly sure-fire method to get into the networks of some of the biggest tech companies out there, gaining remote code execution, and possibly allowing attackers to add backdoors during builds,” Birsan wrote.



The cybersecurity researcher noted that the compromise method was surprisingly successful on three tested programming languages (Python, Java, and Ruby).
https://www.cpomagazine.com/cyber-security/researcher-hacks-35-major-companies-in-a-mock-supply-chain-attack/

Das hänge ich mal hier an.

https://www.cpomagazine.com/cyber-security/researcher-hacks-35-major-companies-in-a-mock-supply-chain-attack/

Die Methode ist zumindest interessant, da sie zu einem grossen Grade Open Source Repositories betreffen sollte.

Die Methode ist zumindest interessant, da sie zu einem grossen Grade Open Source Repositories betreffen sollte.
Damit schlösse sich quasi ein Kreis. Daß "Malware" (habe keine Lust, das jetzt zu spezifizieren) via Repositories via Updates verbreitet werden könnte, wurde bereits moniert.

Update: https://krebsonsecurity.com/2021/03/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software/

Update, March 6, 10:56 a.m. ET: CISA’s Twitter account (https://twitter.com/USCERT_gov/status/1368216461571919877) says the agency “is aware of widespread domestic and international exploitation of Microsoft Exchange Server vulnerabilities and urges scanning Exchange Server logs with Microsoft’s detection tool (https://github.com/microsoft/CSS-Exchange/blob/main/Security/http-vuln-cve2021-26855.nse) to help determine compromise.”
https://krebsonsecurity.com/wp-content/uploads/2021/03/cisatweet.pngA tweet today from the U.S. Cybersecurity and Infrastructure Security Agency (CISA).

Gekürzt von mir.

https://www.msn.com/en-us/news/politics/white-house-weighs-new-cybersecurity-approach-after-failure-to-detect-hacks/ar-BB1ezUpb


(...)
Both hacks exploited the same gaping vulnerability in the existing system: They were launched from inside the United States — on servers run by Amazon, GoDaddy and smaller domestic providers — putting them out of reach of the early warning system run by the National Security Agency.

The agency, like the C.I.A. and other American intelligence agencies, is prohibited by law from conducting surveillance inside the United States, to protect the privacy of American citizens.

But the F.B.I. and Department of Homeland Security — the two agencies that can legally operate inside the United States — were also blind to what happened, raising additional concerns about the nation’s capacity to defend itself from both rival governments and nonstate attackers like criminal and terrorist groups.

In the end, the hacks were detected long after they had begun not by any government agency but by private computer security firms.

The full extent of the damage to American interests from the hacks is not yet clear, but the latest, attributed by Microsoft to China, is now revealing a second vulnerability. As Microsoft releases new “patches” to close the holes in its system, that code is being reverse-engineered by criminal groups and exploited to launch rapid ransomware attacks on corporations, industry executives said. So a race is on — between Microsoft’s efforts to seal up systems, and criminal efforts to get inside those networks before the patches are applied.