Aktuelles, Branche - geschrieben von cp am Donnerstag, Juli 4, 2019 22:10 - noch keine Kommentare
Smart Home-Systeme gefährdet durch Schwachstellen bei SSH-Maschinenidentitäten
Wenige Zeilen Code zum Verriegeln und Entsperren von „intelligenten“ Schlössern
[datensicherheit.de, 04.07.2019] Nach einem Bericht des IT-Magazins Techcrunch haben zwei Sicherheitsforscher Sicherheitslücken im Smart Home-System Zipato gefunden. Die Schwachstellen wurden zwar vom Hersteller behoben, werfen jedoch ein generelles Problem von Smart Home-Systemen auf. Denn die Forscher konnten den privaten SSH-Schlüssel des Hubs auf „root“ setzen und damit das Benutzerkonto mit der höchsten Zugriffsstufe von der Speicherkarte auf dem Gerät extrahieren. Letztlich kann jeder mit dem privaten SSH-Schlüssel auf das Smart Home- bzw. IoT-Gerät zugreifen, ohne einen Schlüssel zu benötigen. Darüber hinaus entdeckten sie, dass der private SSH-Schlüssel in jedem Hub, der an Kunden verkauft wurde, fest kodiert war – was jedes Smart Home mit dem gleichen Hub gefährdet.
Wenige Zeilen Code zum Verriegeln und Entsperren von „intelligenten“ Schlössern
Mit dem privaten Schlüssel luden die Forscher eine Datei von der Vorrichtung herunter, die verschlüsselte Passwörter für den Zugriff auf den Hub enthielt. Sie fanden heraus, dass der Smart Hub ein „pass-the-hash“-Authentifizierungssystem verwendet, bei dem das Klartextpasswort des Benutzers nicht bekannt sein muss, sondern nur die verschlüsselte Version. Indem sie das verschlüsselte Passwort nahmen und es an den intelligenten Hub weitergaben, konnten die Forscher das Gerät dazu bringen, zu denken, dass sie der Hauseigentümer waren. Alles, was ein Angreifer tun musste, war, einen Befehl zu senden, um das Schloss zum Öffnen oder Schließen anzuweisen. Mit nur wenigen Zeilen Code bauten die Forscher ein Skript, das ein intelligentes Schloss, das mit einem verwundbaren Smart Hub verbunden war, verriegelte und entsperrte.
Kevin Bocek, VP Threat Intelligence & Security Strategy bei Venafi
Kevin Bocek, VP Threat Intelligence & Security Strategy bei Venafi kommentiert: „Smart Home Controller, die überall die gleiche, fest programmierte SSH-Maschinenidentität verwenden, stellen ein massives Sicherheitsrisiko dar. In diesem Fall erhält ein Angreifer mit Zugriff auf die verschlüsselte Version des SSH-Schlüssels sofort Zugriff auf jedes Gerät; es ist wie der Gewinn eines Exploit-Jackpots. Es kann Angreifern buchstäblich die Möglichkeit geben, das betroffene Haus ‚freizuschalten‘“.
Problem allgegenwärtig
Man sollte meinen, dass dieses Risiko relativ ungewöhnlich wäre, aber wir haben die gleichen Probleme im Notfallsystem in den USA gesehen und wir wissen durch einen Vortrag von Sicherheitsforschern auf der Defcon, dass jede vierte Amazon-Wolke eine Hintertür mit SSH-Schlüsseln hat. Das Ausmaß ist enorm: Jedes IoT-Gerät, jeder Cloud-Service und jeder Container hat einen Schlüssel, den Cyber-Angreifer gerne nutzen.
Das Problem ist, dass die meisten Unternehmen die Risiken, die mit Maschinenidentitäten wie SSH-Schlüsseln verbunden sind, nicht verstehen; und wenn so etwas passiert, merken sie schnell, dass sie nicht über die richtigen Werkzeuge verfügen, die sie brauchen, um es zu lösen, zum Beispiel den schnellen und automatischen Austausch dieser Schlüssel.“
Weitere Informationen zum Thema:
datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten
datensicherheit.de, 07.06.2019
ForgeRock: Datendiebstähle werden für Unternehmen immer kostspieliger
datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle
datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 22, 2024 18:42 - noch keine Kommentare
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
weitere Beiträge in Branche
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren