Achtung 
CVE-2023-45871

Beim Testen unserer OT-Sicherheitsprodukte StationGuard und StationScout, stellten wir ein seltsames Verhalten fest. Das System stürzte ab, wenn wir große Datenpakete, sogenannte Jumbo Frames, an das Gerät sendeten. Nach einer genauen Untersuchung stellten wir fest, dass der IGB-Treiber von Intel, eine Software, die auf vielen Linux-Systemen für die Netzwerkkommunikation zuständig ist, das Problem verursachte.

Angreifende können diese Sicherheitslücke (CVE-2023-45871) ausnutzen, indem sie diese großen Jumbo Frames an das anfällige Gerät senden. Dadurch kann das gesamte System innerhalb von Sekunden zum Absturz gebracht werden. Es muss keine spezielle Software auf dem Gerät laufen, damit das System anfällig ist. Man muss nur eine bestimmte Einstellung aktivieren, damit das System alle Arten von Datenpaketen akzeptiert, auch beschädigte und übergroße.

Jumbo Frames sind Datenpakete, die größer als normal sind und in der Netzwerkkommunikation verwendet werden. Normalerweise sind Ethernet-Pakete bis zu 1500 Byte groß, aber Jumbo Frames können bis zu 9000 Byte groß sein. Diese größeren Pakete sind weit verbreitet und können die Bandbreiteneffizienz verbessern, indem mehr Daten auf einmal gesendet werden.

Die übergroßen Frames können dazu führen, dass der für den Netzwerkadapter zugewiesene Speicher überläuft und in den Hauptspeicher des Systems übergreift. Da der Netzwerktreiber Teil der Kernsoftware des Systems (des Kernels) ist, kann dieser Überlauf zu Problemen führen, einschließlich der Möglichkeit der Remotecodeausführung. Das heißt, dass ein Angreifer potenziell die Kontrolle über das gesamte System übernehmen könnte.

Wir haben Updates für StationGuard (Version 2.30.0092) und StationScout (Version 2.30.0066) veröffentlicht, um diese Sicherheitslücke zu beheben. Wir empfehlen allen Kunden, dringend auf die neuesten Versionen zu aktualisieren. Intel empfiehlt allen Nutzern des IGB-Treibers, ihre Linux-Systeme auf Version 6.5.3 zu aktualisieren, um dieses Problem zu entschärfen.

Dieser Vorfall zeigt, dass selbst vertrauenswürdige und weit verbreitete Software Schwachstellen haben kann. Wir empfehlen Ihnen, ungewöhnliches Systemverhalten immer zu untersuchen, da es neue, noch nicht offiziell erkannte Schwachstellen aufzeigen könnte.

Weitere Informationen zu diesem Problem finden Sie unter: NVD - CVE-2023-45871 (nist.gov). 

Ein großes Dankeschön an Manfred Rudigier, Thomas Hotz und Jodok Simma, die die Sicherheitslücke entdeckt, gemeldet und behoben haben. Intel wurde die Sicherheitslücke am 31. Juli 2023 gemeldet und ist in der neuesten Treiberversion behoben: Linux-Kernel-Changelog 6.5.3. Falls Sie mehr über den IGB-Treiber wissen möchten, verweisen wir Sie gerne an die Linux-Kernel-Dokumentation.