IoT: 90% der Firmware mit kritischer Sicherheitslücke

Einfallstore für Hacker und Vergrößerung der Cyber-Angriffsfläche von Unternehmen

[datensicherheit.de, 19.08.2019] Das Internet der Dinge (im Englischen „Internet of Things“ / IoT) gilt als ein „Türöffner“ – „und zwar in zweifacher Hinsicht“, erläutert Rainer M. Richter, „Director Channel“ bei SEC Technologies: Denn einerseits eröffne das IoT Unternehmen neue lukrative Geschäftsfelder und ermögliche eine vollkommen vernetzte Geschäftswelt. Andererseits seien IoT-Geräte auch ideale Einfallstore für Hacker und vergrößerten die Cyber-Angriffsfläche von Unternehmen immens.

Sicherheit der IoT-Geräte noch immer stark vernachlässigt

Richter warnt: „Tatsache ist, dass die Sicherheit von IoT-Geräten nach wie vor stark vernachlässigt wird und ihre Firmware in der Regel nur so vor Schwachstellen wimmelt – ganz zur Freude der Cyber-Angreifer.“ So habe eine aktuelle Untersuchung der Firmware-Analyseplattform „IoT Inspector“ gezeigt, dass mehr als 90 Prozent der Firmware-Dateien kritische Sicherheitslücken aufwiesen.
Dazu zählten fest programmierte Passwörter im Firmware-Dateisystem, Schwachstellen in der Systemkonfiguration oder „SSH Host-Keys“. Die am häufigsten identifizierten Schwachstelle – und damit Sicherheitslücke Nr.1 – seien laut diesem Report jedoch versteckte Standard-User-Credentials.

Foto: SEC Technologies GmbH

Rainer M. Richter: Sicherheitslücke Nr.1 versteckte Standard-User-Credentials

Hacker-Eldorado: 20 Backdoors in Netzwerkkamera

Exemplarisch sei dabei die Untersuchung einer Netzwerkkamera eines US-amerikanischen Anbieters von Überwachungssystemen. Hierbei habe die statische und dynamische Firmware-Analyse des „IoT Inspector“ insgesamt 26 verschiedene User-Accounts identifizieren können – und das, obwohl das dazugehörige Handbuch insgesamt nur drei entsprechende Accounts aufgeführt habe.
„Über 20 Backdoors machen so eine Netzwerkkamera, die eigentlich zu Sicherheitszwecken eingesetzt werden soll, so zum Trojanischen Pferd“, so Richter.

Schwachstellen werden von Cyber-Kriminellen gezielt ausgenutzt

Dass Schwachstellen wie diese von Cyber-Kriminellen auch gezielt ausgenutzt würden, zeigten die jüngsten Schlagzeilen rund um die Hacker-Gruppe „APT28“. So hätten die Kriminellen, „denen auch die Einbrüche im Bundestag, dem Auswärtigen Amt sowie Manipulationen der letzten US-Wahlen zugeschrieben werden“, über ein VoIP-Phone, einen Office-Drucker und ein Video-Abspielgerät Firmennetzwerke angegriffen, „um sich dort festzusetzen und weiter auszubreiten“.
Nicht abgeänderte Default-Passwörter des Herstellers und vernachlässigte kritische Sicherheits-Updates hätten ihnen dabei in die Hände gespielt.

Von IoT-Devices ausgehende Gefahr noch immer stark unterschätzt

Richter führt aus: „Werden klassische Endgeräte wie PCs, Server oder Notebooks heutzutage meist hinreichend überwacht und dank innovativer KI-basierter ,Endpoint Protection‘ auch immer effektiver abgesichert, wird die Gefahr, die von IoT-Devices ausgeht, immer noch stark unterschätzt und entsprechende Sicherheitsüberprüfungen falsch priorisiert – mit fatalen Folgen.“
Drucker, Webcams, Router, „WLAN Access-Points“ oder Klima-Kontrollen seien jedoch mindestens genauso gefährdet wie der klassische Computer und böten Angreifern dieselben Möglichkeiten, um Netzwerke zu infiltrieren oder sensible Daten abzugreifen. „Man denke hier auch an die neuesten Schlagzeilen rund um Ransomware-Angriffe auf Spiegelreflexkameras von Canon“, erinnert Richter.

Selbst aktiv nach Verwundbarkeiten in eingesetzten Geräten suchen!

So lange es auch Markführern wie Cisco oder Microsoft nicht gelinge, Firmware frei von Schwachstellen zu liefern, „sind Unternehmen und Serviceprovider aufgefordert, selbst aktiv nach Verwundbarkeiten in den eingesetzten Geräten zu suchen“, betont Richter.
Um später keine bösen Überraschungen zu erleben, müsse die Firmware von neuen IoT-Devices idealerweise schon vor deren Einsatz auf Sicherheitslücken wie hartkodierte Hashes überprüft werden. Nur so könnten Schutz- und Abwehrmaßnahmen wie z.B. Firewall-Konfigurationen rechtzeitig daran angepasst werden.

Weitere Informationen zum Thema:

IoT Inspector
SICHERHEITSANALYSE / FÜR IOT-GERÄTE | KOMPLETT AUTOMATISIERT

datensicherheit.de, 12.08.2019
Ransomware: Auch digitale Spiegelreflex-Kameras anfällig / Kriminelle könnten Fotos verschlüsseln und Lösegeld erpressen

datensicherheit.de, 05.06.2019
IIoT: 5 Säulen der Sicherheit

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe