Wie wir die Schwachstelle fanden

Beim Testen unserer OT-Sicherheitsprodukte StationGuard und StationScout, stellten wir ein seltsames Verhalten fest. Das System stürzte ab, wenn wir große Datenpakete, sogenannte Jumbo Frames, an das Gerät sendeten. Nach einer genauen Untersuchung stellten wir fest, dass der IGB-Treiber von Intel, eine Software, die auf vielen Linux-Systemen für die Netzwerkkommunikation zuständig ist, das Problem verursachte.

Wie diese Linux-Sicherheitslücke 
ausgenutzt werden kann

Angreifende können diese Sicherheitslücke (CVE-2023-45871) ausnutzen, indem sie diese großen Jumbo Frames an das anfällige Gerät senden. Dadurch kann das gesamte System innerhalb von Sekunden zum Absturz gebracht werden. Es muss keine spezielle Software auf dem Gerät laufen, damit das System anfällig ist. Man muss nur eine bestimmte Einstellung aktivieren, damit das System alle Arten von Datenpaketen akzeptiert, auch beschädigte und übergroße.

Wann spricht man von Jumbo Frames?

Jumbo Frames sind Datenpakete, die größer als normal sind und in der Netzwerkkommunikation verwendet werden. Normalerweise sind Ethernet-Pakete bis zu 1500 Byte groß, aber Jumbo Frames können bis zu 9000 Byte groß sein. Diese größeren Pakete sind weit verbreitet und können die Bandbreiteneffizienz verbessern, indem mehr Daten auf einmal gesendet werden.

Die Folgen

Die übergroßen Frames können dazu führen, dass der für den Netzwerkadapter zugewiesene Speicher überläuft und in den Hauptspeicher des Systems übergreift. Da der Netzwerktreiber Teil der Kernsoftware des Systems (des Kernels) ist, kann dieser Überlauf zu Problemen führen, einschließlich der Möglichkeit der Remotecodeausführung. Das heißt, dass ein Angreifer potenziell die Kontrolle über das gesamte System übernehmen könnte.

Was können Sie für Ihre Sicherheit tun?

Wir haben Updates für StationGuard (Version 2.30.0092) und StationScout (Version 2.30.0066) veröffentlicht, um diese Sicherheitslücke zu beheben. Wir empfehlen allen Kunden, dringend auf die neuesten Versionen zu aktualisieren. Intel empfiehlt allen Nutzern des IGB-Treibers, ihre Linux-Systeme auf Version 6.5.3 zu aktualisieren, um dieses Problem zu entschärfen.

Gewonnene Erkenntnisse

Dieser Vorfall zeigt, dass selbst vertrauenswürdige und weit verbreitete Software Schwachstellen haben kann. Wir empfehlen Ihnen, ungewöhnliches Systemverhalten immer zu untersuchen, da es neue, noch nicht offiziell erkannte Schwachstellen aufzeigen könnte.


Weitere Informationen zu diesem Problem finden Sie unter: NVD - CVE-2023-45871 (nist.gov)


Ein großes Dankeschön an Manfred Rudigier, Thomas Hotz, Jodok Simma und Erik Heindl, die die Sicherheitslücke entdeckt, gemeldet und behoben haben. Intel wurde die Sicherheitslücke am 31. Juli 2023 gemeldet und ist in der neuesten Treiberversion behoben: Linux-Kernel-Changelog 6.5.3. Falls Sie mehr über den IGB-Treiber wissen möchten, verweisen wir Sie gerne an die Linux-Kernel-Dokumentation.