Forscher finden einen irreparablen Sicherheitsfehler, der Millionen von Smart-Home-Geräten betrifft

Eskere Guru

Ein neues Whitepaper von Forschern des Unternehmens-Sicherheitsunternehmens Forescout hat eine Sicherheitslücke aufgedeckt, die möglicherweise Millionen verbundener Geräte betrifft.

Das Problem ist auf Zero-Day-Schwachstellen in vier weit verbreiteten Open-Source-TCP / IP-Codebibliotheken zurückzuführen.

Amnesie: 33 Könnte schwer zu vergessen sein

Das Team hinter dem Whitepaper hat diese Sicherheitsanfälligkeit Amnesia: 33 genannt und jedes Problem in einem Whitepaper von Forescout [PDF] ausführlich beschrieben.

Forescout schätzt, dass die Sicherheitslücke weltweit mehr als 150 Anbieter verbundener Geräte betrifft. Möglicherweise sind Millionen von Geräten anfällig, von Smart-Home-Geräten bis hin zu IoT-Geräten (Internet of Things), die in industriellen Umgebungen verwendet werden.

Die Sicherheitsanfälligkeit kann auf verschiedene Arten verschiedene Geräte betreffen, wie im Whitepaper beschrieben:

  • Remote Code Execution (RCE), um die Kontrolle über ein Zielgerät zu übernehmen
  • Denial of Service (DoS) zur Beeinträchtigung der Funktionalität und zur Beeinträchtigung des Geschäftsbetriebs
  • Informationsleck (Infoleak), um potenziell sensible Informationen zu erhalten
  • DNS-Cache-Vergiftung, um ein Gerät auf eine schädliche Website zu verweisen

Jedes dieser Angriffsmuster kann ein System zerstören, und das Ausbessern des Lochs wird keine leichte Aufgabe sein.

Weitreichende Risiken und Konsequenzen

Dies ist alles andere als das erste Mal, dass verbundene Systeme Fehler aufweisen. Einige fragen sich sogar, ob Geräte wie Ring Ihr Haus weniger sicher machen könnten als herkömmliche Offline-Sicherheitsgeräte. Obwohl es aufgrund dieser Sicherheitsanfälligkeit bisher keine dokumentierten Angriffe gibt, hat das Forescout-Team einige glaubwürdige Angriffsszenarien skizziert.

Der verwendete Netzwerkstapel ist in einer Vielzahl verbundener Geräte vorhanden, einschließlich intelligenter Stecker und Temperaturmonitore, die sich auf Heimanwender auswirken könnten, im öffentlichen Raum jedoch weitaus schlimmere Folgen haben würden.

In einem Gesundheitswesen kann ein Angreifer beispielsweise Zugriff auf das Netzwerk erhalten und Chaos verursachen, das möglicherweise das Temperatursystem und die angeschlossenen Schlösser beeinträchtigt oder falsche Feueralarme auslöst. In einem Einzelhandelsumfeld sind angeschlossene Temperatursensoren ein häufiger Schwachpunkt, und sobald ein Hacker im Netzwerk ist, kann er den gesamten Shop offline schalten. Dies würde dazu führen, dass viele Geschäfte nicht in der Lage sind, Transaktionen abzuschließen oder Lagerbestände zu überwachen.

Dies sind natürlich Worst-Case-Szenarien, aber wie bei allen Sicherheits-Whitepapers: Wenn Forescout daran gedacht hat, hat dies wahrscheinlich auch jemand mit böswilliger Absicht.

Warum kann das nicht behoben werden?

Die Codebibliotheken im Zentrum von Amnesia: 33 sind die Grundbausteine ​​vieler vernetzter Geräte. Sie sind alle Open Source, dh sie stehen frei zur Verfügung, um von Entwicklern verwendet oder geändert zu werden.

Selbst wenn diese Codebibliotheken alle aktualisiert werden, führt die Art der Verwendung von frei verfügbarem Code zu Remix-Bibliotheken, eindeutigen Implementierungen und großen Bereichen von Codebasen mit potenziell bösartigem Code.

In dieser Phase kann dies nur behoben werden, wenn Unternehmen die individuelle Verantwortung übernehmen und ihre Softwareimplementierungen bis hin zum Bare Metal bewerten.

Selbst wenn die meisten Anbieter es ernst nehmen, bezweifle ich, dass dies das letzte Mal ist, dass wir von Amnesia hören: 33.