Security Sichere Verbindungen? Software-Lieferkette in OT/IoT-Routern im Fokus

In einer gemeinsamen Untersuchung haben Forescout und Finite State die Software-Lieferkette für OT/IoT-Router analysiert. Wir haben die Erkenntnisse zusammengefasst und betrachten speziell die DACH-Region.

Mobilfunk-Router verbinden wichtige Geräte der Betriebstechnik (OT) und des Internet of Things (IoT) mit dem Internet. Diese Verbindungen ermöglichen die Fernüberwachung und -steuerung – insbesondere dort, wo kabelgebundene Netzwerke nur schwer zu installieren sind.

Ende des Jahres 2023 hat Forescout Research Vedere Labs Schwachstellen beim OT/IoT-Router-Anbieter Sierra 21 untersucht. Im Rahmen dessen entdeckte man, dass Open-Source-Softwarekomponenten eine zentrale Schwachstelle darstellen. Das war laut Unternehmensangaben der Startschuss, um den Zustand von Softwarekomponenten in OT/IoT-Netzwerkgeräten über einen Hersteller hinaus zu analysieren. Das Ziel: Das Risiko in der Software-Lieferkette durch bestehende, sogenannte N-Day-Schwachstellen in der neuesten Router-Firmware zu verstehen.

Schwachstellen in der Lieferkette lassen sich nur schwer beseitigen, da Firmware-Images häufig auf veralteten Komponenten beruhen, um kompatibel zu sein – so können Bedrohungsakteure viele Geräte mit einem einzigen Exploit angreifen. Die Identifizierung der komplexen Komponenten, die in den gängigen Modellen einer bestimmten Geräteklasse verwendet werden, ist jedoch in großem Umfang schwierig. Um hier Abhilfe zu schaffen, tat sich Forescout mit Finite State, einem Anbieter von Software Bill of Materials zusammen, um Firmware-Images von gängigen Routern zu analysieren: Acksys, Digi, MDEX, Teltonika und Unitronics.

Wi-Fi 7 und Security

Die Netzwerksicherheit muss sich auf Wi-Fi 7 vorbereiten

Blick auf die DACH-Region

Deutschland hat die höchste Anzahl an exponierten Geräten in der DACH-Region, mit insgesamt über 40 Millionen Geräten. Dazu gehören kritische OT- und IoT-Geräte wie Stromgeneratoren und industrielle Steuerungen, die erhebliche Cybersicherheitsherausforderungen darstellen

Deutschland ist auch das am stärksten von Ransomware-Angriffen betroffene Land in der Region, mit 231 registrierten Vorfällen, die hauptsächlich auf Branchen wie die Fertigung, Technologie und Finanzen abzielen. Zu den am häufigsten ausgenutzten Schwachstellen gehören solche, die in Citrix ADC, Cisco IOS und Huawei Home Gateway-Geräten gefunden werden. 24 Prozent der gefährdeten Geräte in der DACH-Region sind nicht-traditionelle IT-Geräte, die das Risiko von Cyber-Bedrohungen in verschiedenen Sektoren erhöhen, deshalb sind verbesserte Sicherheitsmaßnahmen dringend notwendig.

Nachweis von Best Practices

Die Bedeutung von SOC-Audits für die Vertrauensbildung beim Kunden

Wichtige Ergebnisse im Überblick

Nachfolgend finden Sie die zentralen Erkenntnisse der Analyse kurz zusammengefasst.

• 1. OpenWrt ist überall: Vier der fünf analysierten Firmware-Images verwenden Betriebssysteme, die von OpenWrt abgeleitet sind, einem Open-Source-Linux-basierten Betriebssystem für eingebettete Geräte. Diese vier Firmware-Images verwenden jedoch stark modifizierte Versionen des Basis-Betriebssystems, indem sie entweder einzelne Komponentenversionen mit einer Basisversion mischen und anpassen oder ihre eigenen Komponenten selbst entwickeln.

• 2. Die Softwarekomponenten sind oft veraltet: Bei der Analyse wurden in jedem Firmware-Image durchschnittlich 662 Komponenten und 2.154 Feststellungen zu bekannten Schwachstellen, schwachen Sicherheitsvorkehrungen und potenziellen neuen Schwachstellen ermittelt. Bei der Untersuchung wurden 25 gängige Komponenten herausgegriffen und festgestellt, dass die durchschnittliche Open-Source-Komponente fünf Jahre und sechs Monate alt war und vier Jahre und vier Monate hinter der neuesten Version zurücklag. Selbst die neuesten Firmware-Images verwenden nicht die neuesten Versionen von Open-Source-Komponenten, einschließlich kritischer Komponenten wie dem Kernel und OpenSSL.

• 3. Bekannte Sicherheitslücken sind zahlreich: Im Durchschnitt wiesen die Firmware-Images 161 bekannte Schwachstellen in ihren häufigsten Komponenten auf: 68 mit einem niedrigen oder mittleren CVSS-Wert, 69 mit einem hohen Wert und 24 mit einem kritischen Wert. Außerdem wiesen die Firmware-Images durchschnittlich 20 ausnutzbare n-days auf, die den Kernel betrafen.

• 4. Es mangelt an Sicherheitsfunktionen: Im Durchschnitt verwenden 41 % der Binärdateien aller Firmware-Images RELRO, 31 % Stack Canaries, 65 % NX, 75 % PIE, 4 % RPath und 35 % Debugging-Symbole. Die Durchschnittswerte können irreführend sein, da die Unterschiede zwischen den Firmware-Images sehr groß sind. Insgesamt sind alle fünf untersuchten Firmware-Images unzureichend, was die binären Schutzmechanismen angeht.

• 5. Standard-Anmeldeinformationen werden abgeschafft: Obwohl jede Firmware mit Standard-Anmeldeinformationen ausgeliefert wurde, wurden diese häufig einmalig generiert, und der Benutzer war gezwungen, sie bei der Konfiguration eines Geräts zu ändern, wodurch sie unter normalen Umständen nicht ausgenutzt werden konnten.

• 6. Benutzerdefiniertes Patching ist ein Problem: Bei der Analyse wurden Beispiele dafür gefunden, dass Hersteller ihre eigenen Patches für bekannte Schwachstellen anwandten und neue Probleme einführten. Außerdem wurden Schwachstellen gepatcht, ohne die Versionen der Komponenten zu erhöhen, was dazu führte, dass der Benutzer eines Geräts nicht wusste, was anfällig ist und was nicht.

„Der Bericht 'Rough Around the Edges' zeigt einen beunruhigenden Trend zu veralteten Softwarekomponenten in OT/IoT-Routern, wobei viele Geräte modifizierte Versionen von OpenWrt verwenden, die bekannte Schwachstellen enthalten“, sagte Larry Pesce, Director of Product Research and Development bei Finite State. Diese Ergebnisse zeigten laut des Experten, wie wichtig es ist, die Risiken in der Software-Lieferkette anzugehen. Der vollständige Report kann hier registrierungspflichtig abgerufen werden.

(ID:50125433)