Vor kurzem hat das israelische Unternehmen für industrielle Cybersicherheit OTORIO seine Erkenntnisse über Sicherheitsschwachstellen vorgestellt, die für industrielle Umgebungen ein ernsthaftes Risiko darstellen könnten. Diese Schwachstellen stehen im Zusammenhang mit Cloud-Management-Plattformen, die von drei Anbietern industrieller Mobilfunkrouter genutzt werden: Sierra Wireless, Teltonika Networks und InHand Networks. Die Sicherheitslücken wurden auf der Konferenz Black Hat Asia 2023 bekannt gegeben. OTORIO zeigte, wie Angreifer diese Schwachstellen ausnutzen können, um Remotecode auszuführen und die vollständige Kontrolle über Hunderttausende von Geräten und OT-Netzwerken zu erlangen.

Die Schwachstellen könnten es Angreifern ermöglichen, Sicherheitsprotokolle zu umgehen, vertrauliche Daten zu exfiltrieren und Code aus der Ferne in internen Netzwerken auszuführen. Die Probleme könnten sogar als Waffe eingesetzt werden, um unbefugten Zugriff auf Geräte zu erhalten und böswillige Operationen durchzuführen, wie z. B. das Herunterfahren mit erweiterten Berechtigungen. Die Schwachstellen wurden in den cloudbasierten Verwaltungslösungen der betroffenen Anbieter entdeckt, mit denen sich Geräte aus der Ferne verwalten und betreiben lassen.

Insbesondere sind die Schwachstellen mit drei verschiedenen Angriffsvektoren verbunden. Schwache Mechanismen zur Asset-Registrierung bei Sierra Wireless könnten es Angreifern ermöglichen, nach unregistrierten Geräten zu suchen, die mit der Cloud verbunden sind, deren Seriennummern zu erhalten, sie auf einem Konto unter ihrer Kontrolle zu registrieren und beliebige Befehle auszuführen.

Lesen Sie auch: „Neue geheime Variante von BPFDoor Linux Backdoor entdeckt“

Schwachstellen in den Sicherheitskonfigurationen für InHand Networks könnten es einem nicht autorisierten Benutzer ermöglichen, CVE-2023-22601, CVE-2023-22600 und CVE-2023-22598, eine Befehlsinjektionsschwachstelle, auszunutzen, um Remotecodeausführung mit Root-Rechten zu erlangen, Reboot-Befehle zu erteilen und Firmware-Updates durchzuführen. Ein Bedrohungsakteur könnte externe APIs und Schnittstellen für Teltonika Networks missbrauchen, um „sensible Gerätedaten und Geräteanmeldeinformationen preiszugeben, die Ausführung von Remote-Code zu ermöglichen, angeschlossene, im Netzwerk verwaltete Geräte offenzulegen und die Imitation legitimer Geräte zu ermöglichen“.

Die sechs Schwachstellen, die Teltonika Networks betreffen, wurden nach einer „umfassenden Untersuchung“ in Zusammenarbeit mit Claroty entdeckt. Die Schwachstellen stellen ein erhebliches Risiko für die Lieferkette dar, da eine Kompromittierung durch einen einzigen Anbieter eine Hintertür für den gleichzeitigen Zugriff auf mehrere OT-Netzwerke darstellen könnte. Über die Cloud verwaltete Geräte ermöglichen Angreifern den gleichzeitigen Zugriff auf mehrere Umgebungen, was sie zu wertvollen Zielen macht. Mit der zunehmenden Verbreitung von IoT-Geräten ist es wichtig zu wissen, dass Bedrohungsakteure ihre Cloud-Management-Plattformen ins Visier nehmen können.

Diese Schwachstellen zeigen, wie wichtig es ist, robuste Sicherheitsprotokolle zu implementieren, um industrielle Umgebungen vor Cyber-Bedrohungen zu schützen. Cloud-Verwaltungsplattformen bieten Komfort, müssen aber angemessen gesichert werden, um unbefugten Zugriff zu verhindern und den Datenschutz und die Datenintegrität zu gewährleisten. Alle Unternehmen, die IoT-Geräte und Cloud-Verwaltungsplattformen nutzen, müssen wachsam bleiben und ihre Netzwerke und Geräte proaktiv schützen.