Veraltete Controller und Komponenten gefährden IoT- und OT-Geräte

Eine Untersuchung von Nozomi Networks Labs sorgt aktuell für Aufsehen: Die Studie mit besonderem Schwerpunkt auf Geräte für das Internet der Dinge (IoT) sowie Operational Technologies (OT) deckte 13 Schwachstellen in der Sicherheit von Baseboard Management Controllern (BMCs) auf. Durch Ausnutzung dieser Sicherheitslücken können Angreifer aus der Ferne einen privilegierten Code ausführen und so die Kontrolle über den verwalteten Host erlangen.

Bei den betroffenen Controllern (BMCs) handelt es sich um zusätzliche System-on-Chips (SOCs), die für die Remote-Überwachung und -Verwaltung eingesetzt werden. Aufgrund der dedizierten Netzwerk-Schnittstelle und der Verbindung mit kritischen Hardwarekomponenten (z. B. dem Motherboard-Chipsatz) können BMCs vollständig ferngesteuerte Systemoperationen durchführen. Neben der Interaktion mit Tastatur und Maus direkt über Bootstrap ist damit auch die Steuerung der Systemleistung oder ein Reflash der BIOS-Firmware möglich.

Früher waren BMCs nur in Server-Motherboards zu finden – heute können sie auch in IoT- und OT-Geräten eingesetzt werden. Ein Anbieter dieser Lösung ist Lanner. Das taiwanesische Unternehmen hat sich auf Embedded Applications spezialisiert und bietet das Erweiterungsboard IAC-AST2500A mit BMC-Funktionalität und MegaRAC SP-X-Firmware von American Megatrends (AMI) an. Dieses Board verfügt über eine Webanwendung, die die verwalteten Hosts und den BMC selbst vollständig steuern kann.

In der IAC-AST2500A-Webschnittstelle wurden 13 Sicherheitslücken gefunden; 12 davon betreffen die Version 1.10.0 der Standard-Firmware des Lanner IAC-AST2500. Nur eine Lücke (CVE-2021-4228) wurde in Version 1.00.0 der Firmware gefunden. Insgesamt wurden dabei fünf der Schwachstellen als kritisch eingestuft. Weitere Sicherheitslücken sind bereits bekannt, aber noch nicht behoben – und sollen zu einem späteren Zeitpunkt von Nozomi Networks Labs veröffentlicht werden.

Zwei der gefundenen Schwachstellen (CVE-2021-44467 und CVE-2021-26728) machten es sogar möglich, Angriffsketten zu initiieren, bei denen der Aggressor privilegierten Code aus der Ferne ausführt.

Um die Probleme aus dem Bericht von Nozomi Network Labs zu beheben, hat Lanner aktualisierte BMC-Firmware-Versionen für den IAC-AST2500A entwickelt. Die gepatchte Version ist jedoch stark Geräte-spezifisch. Es wird daher empfohlen, den technischen Support von Lanner zu kontaktieren, um das passende Paket zu erhalten.

Lässt sich der Patch nicht auf die betroffenen Geräte aufspielen, empfiehlt Nozomi Networks Labs die Verwendung von Firewall- oder Netzwerkzugriffskontrollregeln, um den Zugriff nur auf vertrauenswürdiges Personal zu beschränken. Des Weiteren ist eine aktive Überwachung des Netzwerkverkehrs mithilfe von Intrusion-Detection-Systemen ratsam.

Insgesamt kommt Nozomi Networks Labs zu folgendem Schluss: BMCs sind eine interessante Möglichkeit, um Systeme ohne die Erforderlichkeit eines physischen Zugangs bequem zu überwachen und zu verwalten – sowohl in der IT als auch im IoT- und OT-Bereich. Auf der anderen Seite erzeugt diese Bequemlichkeit eine breitere Angriffsfläche, die bei unzureichendem Schutz auch ein höheres Gesamtrisiko bedeuten kann.

Weitere Schwachstellen, diesmal im SDK

Ein von Recorded Future im April 2022 veröffentlichter Bericht beschreibt verdächtige Aktivitäten im Zusammenhang mit einem Angriff auf das indische Stromnetz. Dabei wurden Standard-IoT-Geräte als Vektor genutzt, um in OT-Netzwerke einzudringen und Schadcode zu installieren.

Bei der Untersuchung dieser Attacken identifizierten Microsoft-Forscher eine anfällige Komponente –und fanden Beweise für Risiken in der Lieferkette, die Millionen von Organisationen und Geräten betreffen könnten.

Microsoft wies darauf hin, dass es sich bei dem anfälligen Bestandteil um den Boa-Webserver handelt, der den Zugriff auf die Einstellungen, Verwaltungskonsolen und Anmeldebildschirme der Geräte ermöglicht. Obwohl dieser Server 2005 eingestellt wurde, kommt er weiterhin bei der Entwicklung von IoT-Geräten zum Einsatz. Ein möglicher Grund: Der Server ist in beliebte SDKs mit wesentlichen Funktionen eingebunden, die auf Mikrochips implementierte SOCs betreiben. So finden anfällige Komponenten wie Boa-Server und SDKs ihren Weg in IoT-Geräte und tragen zur Verbreitung von Schwachstellen in Lieferketten bei.

Daten der Plattform Microsoft Defender Threat Intelligence haben ergeben, dass innerhalb einer Woche weltweit mehr als eine Million Boa-Server-Komponenten im Internet aktiv waren.

Ohne Wartung machen es bekannte Sicherheitslücken im Boa-Webserver Angreifern leicht, sich unbemerkt Zugang zu Netzwerken zu verschaffen und Informationen zu sammeln. Das ist vor allem deshalb problematisch, weil viele Benutzer möglicherweise nicht einmal wissen, dass ihre Geräte diesen stillgelegten Server verwenden – und dass Firmware-Updates oder Patches die bekannten Schwachstellen nicht beheben.

Microsoft empfiehlt die folgenden Richtlinien zur Aufrechterhaltung der Netzwerksicherheit:

• Patchen Sie anfällige Geräte nach Möglichkeit.

• Verwenden Sie Geräteerkennungs- und Klassifizierungsfunktionen, um Devices mit anfälligen Komponenten zu identifizieren, und definieren Sie Arbeitsabläufe für die Anwendung geeigneter Patches.

• Erweitern Sie die Erkennung von Schwachstellen und Risiken über die Firewall hinaus.

• Verringern Sie die Angriffsfläche, indem Sie unnötige Verbindungen von IoT-Geräten zum Internet eliminieren.

• Setzen Sie auf Segmentierung, um Angreifer daran zu hindern, sich lateral durch Netzwerke zu bewegen und nach dem Einbruch weitere Bereiche zu gefährden. Kritische IoT- und Netzwerkgeräte sollten über Firewalls isoliert werden.

• Führen Sie proaktive Antiviren-Scans durch, um potenziell bösartige Nutzlasten auf Geräten zu identifizieren.

• Konfigurieren Sie Erkennungsregeln, um schadhafte Aktivitäten so weit wie möglich zu identifizieren.