{"id":7261,"date":"2022-12-12T16:06:01","date_gmt":"2022-12-12T16:06:01","guid":{"rendered":"https:\/\/network-king.net\/veraltete-controller-und-komponenten-gefaehrden-iot-und-ot-geraete\/"},"modified":"2022-12-12T16:08:21","modified_gmt":"2022-12-12T16:08:21","slug":"veraltete-controller-und-komponenten-gefaehrden-iot-und-ot-geraete","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/veraltete-controller-und-komponenten-gefaehrden-iot-und-ot-geraete\/","title":{"rendered":"Veraltete Controller und Komponenten gef\u00e4hrden IoT- und OT-Ger\u00e4te"},"content":{"rendered":"\n

Eine Untersuchung von Nozomi Networks Labs<\/a> sorgt aktuell f\u00fcr Aufsehen: Die Studie mit besonderem Schwerpunkt auf Ger\u00e4te f\u00fcr das Internet der Dinge (IoT) sowie Operational Technologies (OT) deckte 13 Schwachstellen in der Sicherheit von Baseboard Management Controllern (BMCs) auf. Durch Ausnutzung dieser Sicherheitsl\u00fccken k\u00f6nnen Angreifer aus der Ferne einen privilegierten Code ausf\u00fchren und so die Kontrolle \u00fcber den verwalteten Host erlangen.<\/p>\n\n\n\n

Bei den betroffenen Controllern (BMCs) handelt es sich um zus\u00e4tzliche System-on-Chips (SOCs), die f\u00fcr die Remote-\u00dcberwachung und -Verwaltung eingesetzt werden. Aufgrund der dedizierten Netzwerk-Schnittstelle und der Verbindung mit kritischen Hardwarekomponenten (z. B. dem Motherboard-Chipsatz) k\u00f6nnen BMCs vollst\u00e4ndig ferngesteuerte Systemoperationen durchf\u00fchren. Neben der Interaktion mit Tastatur und Maus direkt \u00fcber Bootstrap ist damit auch die Steuerung der Systemleistung oder ein Reflash der BIOS-Firmware m\u00f6glich.<\/p>\n\n\n\n

Fr\u00fcher waren BMCs nur in Server-Motherboards zu finden \u2013 heute k\u00f6nnen sie auch in IoT- und OT-Ger\u00e4ten eingesetzt werden. Ein Anbieter dieser L\u00f6sung ist Lanner. Das taiwanesische Unternehmen hat sich auf Embedded Applications spezialisiert und bietet das Erweiterungsboard IAC-AST2500A mit BMC-Funktionalit\u00e4t und MegaRAC SP-X-Firmware von American Megatrends (AMI) an. Dieses Board verf\u00fcgt \u00fcber eine Webanwendung, die die verwalteten Hosts und den BMC selbst vollst\u00e4ndig steuern kann.<\/p>\n\n\n

\n
\"Erweiterungsboard
Quelle: Nozomi Network Labs<\/figcaption><\/figure>\n<\/div>\n\n\n

In der IAC-AST2500A-Webschnittstelle wurden 13 Sicherheitsl\u00fccken gefunden; 12 davon betreffen die Version 1.10.0 der Standard-Firmware des Lanner IAC-AST2500. Nur eine L\u00fccke (CVE-2021-4228) wurde in Version 1.00.0 der Firmware gefunden. Insgesamt wurden dabei f\u00fcnf der Schwachstellen als kritisch eingestuft. Weitere Sicherheitsl\u00fccken sind bereits bekannt, aber noch nicht behoben \u2013 und sollen zu einem sp\u00e4teren Zeitpunkt von Nozomi Networks Labs ver\u00f6ffentlicht werden.<\/p>\n\n\n\n

Zwei der gefundenen Schwachstellen (CVE-2021-44467 und CVE-2021-26728) machten es sogar m\u00f6glich, Angriffsketten zu initiieren, bei denen der Aggressor privilegierten Code aus der Ferne ausf\u00fchrt. <\/p>\n\n\n\n

Um die Probleme aus dem Bericht von Nozomi Network Labs zu beheben, hat Lanner aktualisierte BMC-Firmware-Versionen f\u00fcr den IAC-AST2500A entwickelt. Die gepatchte Version ist jedoch stark Ger\u00e4te-spezifisch. Es wird daher empfohlen, den technischen Support von Lanner zu kontaktieren, um das passende Paket zu erhalten.<\/p>\n\n\n\n

L\u00e4sst sich der Patch nicht auf die betroffenen Ger\u00e4te aufspielen, empfiehlt Nozomi Networks Labs die Verwendung von Firewall- oder Netzwerkzugriffskontrollregeln, um den Zugriff nur auf vertrauensw\u00fcrdiges Personal zu beschr\u00e4nken. Des Weiteren ist eine aktive \u00dcberwachung des Netzwerkverkehrs mithilfe von Intrusion-Detection-Systemen ratsam.<\/p>\n\n\n\n

Insgesamt kommt Nozomi Networks Labs zu folgendem Schluss: BMCs sind eine interessante M\u00f6glichkeit, um Systeme ohne die Erforderlichkeit eines physischen Zugangs bequem zu \u00fcberwachen und zu verwalten \u2013 sowohl in der IT als auch im IoT- und OT-Bereich. Auf der anderen Seite erzeugt diese Bequemlichkeit eine breitere Angriffsfl\u00e4che, die bei unzureichendem Schutz auch ein h\u00f6heres Gesamtrisiko bedeuten kann.<\/p>\n\n\n\n

Weitere Schwachstellen, diesmal im SDK<\/h2>\n\n\n\n

Ein von Recorded Future<\/a> im April 2022 ver\u00f6ffentlichter Bericht beschreibt verd\u00e4chtige Aktivit\u00e4ten im Zusammenhang mit einem Angriff auf das indische Stromnetz. Dabei wurden Standard-IoT-Ger\u00e4te als Vektor genutzt, um in OT-Netzwerke einzudringen und Schadcode zu installieren.<\/p>\n\n\n\n

Bei der Untersuchung dieser Attacken identifizierten Microsoft-Forscher eine anf\u00e4llige Komponente \u2013und fanden Beweise f\u00fcr Risiken in der Lieferkette, die Millionen von Organisationen und Ger\u00e4ten betreffen k\u00f6nnten.<\/p>\n\n\n\n

Microsoft wies darauf hin, dass es sich bei dem anf\u00e4lligen Bestandteil um den Boa-Webserver handelt, der den Zugriff auf die Einstellungen, Verwaltungskonsolen und Anmeldebildschirme der Ger\u00e4te erm\u00f6glicht. Obwohl dieser Server 2005 eingestellt wurde, kommt er weiterhin bei der Entwicklung von IoT-Ger\u00e4ten zum Einsatz. Ein m\u00f6glicher Grund: Der Server ist in beliebte SDKs mit wesentlichen Funktionen eingebunden, die auf Mikrochips implementierte SOCs betreiben. So finden anf\u00e4llige Komponenten wie Boa-Server und SDKs ihren Weg in IoT-Ger\u00e4te und tragen zur Verbreitung von Schwachstellen in Lieferketten bei.<\/p>\n\n\n\n

Daten der Plattform Microsoft Defender Threat Intelligence haben ergeben, dass innerhalb einer Woche weltweit mehr als eine Million Boa-Server-Komponenten im Internet aktiv waren.<\/p>\n\n\n\n

Ohne Wartung machen es bekannte Sicherheitsl\u00fccken im Boa-Webserver Angreifern leicht, sich unbemerkt Zugang zu Netzwerken zu verschaffen und Informationen zu sammeln. Das ist vor allem deshalb problematisch, weil viele Benutzer m\u00f6glicherweise nicht einmal wissen, dass ihre Ger\u00e4te diesen stillgelegten Server verwenden \u2013 und dass Firmware-Updates oder Patches die bekannten Schwachstellen nicht beheben.<\/p>\n\n\n\n

Microsoft empfiehlt die folgenden Richtlinien zur Aufrechterhaltung der Netzwerksicherheit:<\/p>\n\n\n\n