[English]Wir haben uns vermutlich an die täglichen Ransomware-Angriffe auf IT-Systeme gewöhnt. Aber mit der Zunahme von IoT-Geräten droht eine wachsende Gefahr für solche Sicherheitsvorfälle. CheckPoint meint, dass IoT-Geräte einen anderen Sicherheitsansatz brauchen, um dieser Gefahr (z.B. Infektionen durch Ransomware) zu begegnen. Ich stelle mal die Informationen, die ich von CheckPoint habe, zur Information hier im Blog ein.
Anzeige
Das Internet of Things hat (abseits diverser Hype-Schleifen) einigen Nutzen. Der Pferdefuß sind aber die vielen Schwachstellen, und diverse Vorfälle von Angriffen auf IoT-Geräte belegen dies. Und noch bedenklicher: Angriffe auf IoT-Geräte nehmen täglich zu. Dabei werden diese Angriffe immer raffinierter und zerstörerischer, was ein Problem für jedes Unternehmen (aber auch Verbraucher wird).
In vielen Vorfällen wurden Hunderttausende von angeschlossenen Geräten mit Malware infiziert, die sich über das gesamte Netzwerk ausbreitete und PCs, Server und interne Anlagen mit Ransomware, Krypto-Minern, Trojanern, Botnets und mehr kompromittierte. Im Folgenden sollen die Fragen geklärt werden, warum diese Schwachstellen bestehen, wie Cyberkriminelle sich Zugang verschaffen und wie man einige bewährte Verfahren implementieren kann, um Unternehmen vor Cyberangriffen zu schützen.
Die Einfallstore
In der Welt der Cybersicherheit ist jeder Schutzmechanismus nur so stark wie sein schwächstes Glied. Dies gilt sowohl für ein einzelnes Gerät als auch für ein ganzes Netzwerk. Dieses schwächste Glied in einem Netzwerk sind Geräte am Netzwerkrand, die über das Internet zugänglich sind. Dazu gehören viele verschiedene Gerätetypen von IP-Kameras, Routern und Sensoren auf dem Firmengelände bis hin zu Geräten, die vor Ort eingesetzt werden, wie Zapfsäulen, EV-Ladegeräte und Geldautomaten. Alle diese Geräte sind mit dem Internet verbunden und für den Fernzugriff gedacht.
Anzeige
Das Netzwerkumfeld
Wenn Angreifer versuchen, in ein Netzwerk einzudringen, scannen sie die Umgebung in der Regel nach diesen angeschlossenen Geräten, die sie möglicherweise als Einstiegspunkte in das Netzwerk nutzen können. IoT-Geräte sind praktisch ein nützliches Sprungbrett für Cyberangriffe, da sie oftmals mit veralteter Software arbeiten oder nicht auf Sicherheitsereignisse überwacht werden.
Aufgrund des Umfangs und der großen Vielfalt dieser Geräte sind herkömmliche Maßnahmen zur Reaktion auf Vorfälle möglicherweise nicht so effektiv wie üblich. Ein einziger Universitätscampus kann zum Beispiel Dutzende verschiedener Geräte beherbergen. Wenn so viele Geräte in einem Netzwerk auf einmal angegriffen werden, ist es schwierig, den Überblick darüber zu behalten, wo die Schwachstellen liegen. Es ist auch wichtig zu wissen, dass es nie nur einen einzigen Fehlerpunkt gibt.
Was danach passiert
Eine Angriffskampagne ist nicht mit einem „Hit and Run"-Szenario vergleichbar. Manchmal verstecken sich Angreifer lange Zeit im Verborgenen und warten auf den richtigen Moment, um zuzuschlagen, während sie Erkundungsmissionen durchführen, um sich mit dem Netzwerk ihres potenziellen Opfers vertraut zu machen. Bei einem Angriff besteht eines der Ziele des Angreifers darin, sich im gesamten Zielnetz zu bewegen. Sie wollen sich im gesamten Netzwerk frei bewegen und andere interne Anlagen und Einrichtungen angreifen.
Durch die Ausnutzung von Servern, PCs und gewöhnlichen Bürogeräten wie Druckern und Routern verbessern die Angreifer ihre Möglichkeiten, eine breitere Kontrolle über das Netzwerk zu erlangen. Häufig nutzen die Angreifer diese Kontrolle für verschiedene Zwecke wie Datendiebstahl, Erpressung und vieles mehr aus. Was als einfache Lücke in einer Reihe von Geräten begann, kann sich schnell zu einer ausgewachsenen Angriffskampagne mit potenziell verheerenden Folgen entwickeln.
Prominente Beispiele für Angriffe auf IoT-Geräte
Sobald eine Ransomware-Infektion in das Netzwerk eingedrungen ist, kann sie sich an so viele Geräte anhängen, dass es fast unmöglich wird, sie zu beseitigen. Ein berüchtigtes Beispiel für einen solchen Fall, bei dem ein IoT-Gerätenetzwerk gekapert wurde, wird in dem von Vedere Labs veröffentlichten Forschungspapier R4IoT vorgestellt. Der dort beschriebene Angriff begann mit der Ausnutzung von Schwachstellen in Axis-Kameras (CVE-2018-10660, CVE-2018-10661) und einem Zyxel NAS (CVE-2020-9054).
Über diese Netzwerkstützpunkte konnte sich die Malware lateral ausbreiten, um weitere zahlreiche Netzwerkkomponenten zu übernehmen, Informationen zu stehlen und andere Geräte mit Ransomware zu infizieren. In diesem Fall waren die Sicherheitsforscher in der Lage, alte Schwachstellen auszunutzen, nur um die Wirkung von Malware auf Geräte mit ungepatchter Firmware zu demonstrieren. Diese Schwachstellen ermöglichen es Angreifern, über eine nicht authentifizierte Schnittstelle auf dem Gerät vollen Zugriff zu erhalten.
Ein weiteres Beispiel für ein Angriffsszenario (CVE-2022-29499) wurde kürzlich in Mitel IP Phones entdeckt. Diese Schwachstelle ermöglichte es Angreifern, beliebige Befehle auf diesen Geräten auszuführen, so dass Angreifer im Wesentlichen tun konnten, was sie wollten. Im Gegensatz zu den in der R4IoT Forschungsarbeit hervorgehobenen Schwachstellen, die mit herkömmlichen signaturbasierten Produkten behoben werden können, können Angreifer, die diese Mitel-Schwachstelle ausnutzen, praktisch ungehindert ihr Unwesen treiben.
Malware-Angriffe einfach zu initieren
Es ist kaum zu glauben, wie einfach es ist, Malware-Angriffe zu initiieren. Oft können Angriffe wie die oben genannten kostengünstig über unregulierte Märkte erworben werden. Vor einigen Wochen beschlagnahmte das US-Justizministerium eine Website namens RSOCKS (siehe Russisches RSOCKS-Botnet in internationaler Aktion ausgehoben).
Dabei handelte es sich um einen in Russland ansässigen Webdienst, der Proxys verkaufte, die Angreifer häufig für Krypto-Mining-Aktivitäten, DDOS-Angriffe und vieles mehr nutzten.
Die meisten Angreifer waren in der Lage, die Kontrolle über mit dem Netzwerk verbundene Geräte und Anlagen zu erlangen, indem sie einfach die Standardanmeldeinformationen verwendeten oder schwache Kennwörter errieten. Diese Methode des Erratens von Anmeldeinformationen oder des Ausprobierens von Standard-Benutzernamen und -Passwörtern häufte ein bösartiges Netzwerk mit mehr als 350 000 Privat-, Büro- und Heimgeräten an.
Fazit
Anbieter von IoT-Geräten sind in ihrem Bereich außergewöhnlich, wenn es darum geht, sicherzustellen, dass ihre Produkte wie vorgesehen funktionieren. Allerdings sind dieselben Gerätehersteller bei weitem keine Sicherheitsexperten. In der heutigen Cyberlandschaft ist es von entscheidender Bedeutung, dass die mit dem Unternehmensnetzwerk verbundenen Geräte und Anlagen sicher und vor dem nächsten Angriff geschützt sind.
CheckPoint meint dazu: Es ist unpraktisch, ein Patch nach dem anderen für jede Schwachstelle und jedes Exploit, die in freier Wildbahn auftauchen, zu implementieren. Und selbst wenn die Softwarehersteller regelmäßig Updates für die Geräte herausgeben, zeigen Untersuchungen, dass Betreiber und Endbenutzer ihre Geräte oft nicht warten und auf dem neuesten Stand halten. Was in diesem Fall benötigt wird, ist eine zukunftssichere Lösung, die diese Hindernisse aus dem Weg räumen kann.
Cybersicherheit in der IoT-Welt wird daher noch lange ein Thema bleiben, mit immer neuen Innovationen auf beiden Seiten. Grundlegende Sicherheitslösungen zur Überwachung und Erkennung reichen in der heutigen modernen Cyberlandschaft nicht mehr aus. Ohne eine Cybersicherheitslösung, die Cyberangriffe in Echtzeit erkennen und verhindern kann, können wir nicht auf einen Sieg gegen die Cyberkriminellen hoffen.
Ähnliche Artikel:
Russisches RSOCKS-Botnet in internationaler Aktion ausgehoben
Für Millionen-Schäden verantwortliche Phishing-Bande von Europol zerschlagen (21. Juni 2022)
Anzeige
Also ich bin da ganz klar einer Meinung, es muss nicht alles direkt und jeder ins Internet.
Eine separate Firewall ist schon mal Pflicht und segmentierte Netze. Und dann logische Regeln, und nur das was wirklich muss, gerade ins Internet.
Reverse Proxy sollte bei http/s Verbindungen auch mal ins Gespräch kommen oder noch besser, wenn von extern nur mit VPN.
Ich lasse ja auch nicht jeden in meine Garage…
Damit kann man schon einige Szenarien mit Abfangen.
Ich sehe da eine Interessenkollision. Check point ist in dieser Hinsicht nicht neutral und möchte viel Geschäft für sich genereieren. Schon deshalb sind alle Informationen die CP zur Verfügung stellt mit äußerster Vorsicht zu geniesen.
IoT geräte sollten nach IEC 62443 zertifiziert sein (das muß nicht notwendigerweise von einer notifizierten Stelle sein), aber das Prüfprotokoll sollte verfügbar sein. 99% der vernetzten Geräte sind m. M. n. Mumpitz und die Vernetzung dienst nur dazu möglichst viele Daten abzugreifen. Leider nutzen viele Hersteller proprietäre Protokolle (auch dei von M$, AWS, Google) statt auf Standards zu setzen (lwM2M o. ä.). Das mcht es noch schwieriger eine sinnvolle Sicherheitslösung aufzubauen.