{"id":252720,"date":"2021-05-04T12:15:52","date_gmt":"2021-05-04T10:15:52","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252720"},"modified":"2023-06-08T22:42:42","modified_gmt":"2023-06-08T20:42:42","slug":"badalloc-kritische-bugs-in-iot-gerten-und-in-ot-systemen-gefunden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/05\/04\/badalloc-kritische-bugs-in-iot-gerten-und-in-ot-systemen-gefunden\/","title":{"rendered":"BadAlloc: Kritische Bugs in IoT-Ger&auml;ten und in OT-Systemen gefunden"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/05\/04\/badalloc-kritische-bugs-in-iot-gerten-und-in-ot-systemen-gefunden\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsforscher von Microsoft habe sich Internet of Things (IoT) Software, die in entsprechenden Ger\u00e4ten eingesetzt wird, und Operational Technology-Industriesysteme (OT) genauer angesehen. Dabei sind sie auf \u00fcber zwei Dutzend kritische Remote-Code-Execution-Schwachstellen gesto\u00dfen. Die Folgen betreffen alles, von IoT-Ger\u00e4ten \u00fcber medizinische Ger\u00e4te bis hin zu Industriesystemen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/c7c7ea83785d4d6a9d655d967ec62e97\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin die Tage \u00fcber den nachfolgenden <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1387890769445466122\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> der Kollegen von Bleeping Computer auf den Sachverhalt gesto\u00dfen, wurde aber auch bereits von Sicherheitsforschern anderer Firmen darauf hingewiesen.<\/p>\n<p><a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1387890769445466122\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/Gf7hXV0.png\" \/><\/a><\/p>\n<p>Hier in kompakt: Microsofts Azure Defender for IoT-Sicherheitsforschungsgruppe, auch als Sektion 52 bekannt, hat k\u00fcrzlich eine Reihe kritischer Schwachstellen bei der Speicherzuweisung in IoT- und OT-Ger\u00e4ten in <a href=\"https:\/\/web.archive.org\/web\/20230129020142\/https:\/\/msrc-blog.microsoft.com\/2021\/04\/29\/badalloc-memory-allocation-vulnerabilities-could-affect-wide-range-of-iot-and-ot-devices-in-industrial-medical-and-enterprise-networks\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel aufgedeckt<\/a>. Diese, unter dem Begriff BadAlloc zusammengefassten Schwachstellen, lassen sich durch Angreifer ausnutzen, um Sicherheitskontrollen zu umgehen, um b\u00f6sartigen Code auszuf\u00fchren oder einen Systemabsturz zu verursachen.<\/p>\n<p>Microsoft hat f\u00fcr diese RCE-Schwachstellen (Remote Code Execution) mehr als 25 CVEs vergeben lassen. Die Sicherheitsforscher schreiben, dass die Schwachstellen potenziell eine Vielzahl von Bereichen, von Consumer und Medical IoT bis hin zu Industrial IoT, Operational Technology (OT) und industriellen Steuerungssystemen betreffen. Passend habe ich heute gerade eine Pressemitteilung \u00fcber Cumulocity IoT f\u00fcr die Sch\u00e4dlingssuche in Containern, Silos etc. mittels traptice\u00ae auf den Tisch bekommen. Ob deren Software von BadAlloc betroffen ist, konnte ich nicht herausfinden. Aber da bekommt die Suche nach Bugs doch gleich eine doppelte Bedeutung.<\/p>\n<p>Die von Microsoft gefundenen Schwachstellen bestehen in Standard-Speicherzuweisungsfunktionen, die weit verbreitete Echtzeit-Betriebssysteme (RTOS), Embedded Software Development Kits (SDKs) und Implementierungen der C-Standardbibliothek (libc) umfassen. Diese Erkenntnisse wurden durch verantwortungsvolle Offenlegung unter der Leitung des Microsoft Security Response Center (MSRC) und des Department of Homeland Security (DHS) an Hersteller weitergegeben, damit diese die Schwachstellen untersuchen und patchen k\u00f6nnen. Auf der Website des DHS <a href=\"https:\/\/us-cert.cisa.gov\/ics\/advisories\/icsa-21-119-04\" target=\"_blank\" rel=\"noopener\">ICSA-21-119-04 Multiple RTOS<\/a> werden die Produkte aus nachfolgender Liste als betroffen gef\u00fchrt.<\/p>\n<ul>\n<li>Amazon FreeRTOS, Version 10.4.1<\/li>\n<li>Apache Nuttx OS, Version 9.1.0<\/li>\n<li>ARM CMSIS-RTOS2, versions prior to 2.1.3<\/li>\n<li>ARM Mbed OS, Version 6.3.0<\/li>\n<li>ARM mbed-uallaoc, Version 1.3.0<\/li>\n<li>Cesanta Software Mongoose OS, v2.17.0<\/li>\n<li>eCosCentric eCosPro RTOS, Versions 2.0.1 through 4.5.3<\/li>\n<li>Google Cloud IoT Device SDK, Version 1.0.2<\/li>\n<li>Linux Zephyr RTOS, versions prior to 2.4.0<\/li>\n<li>Media Tek LinkIt SDK, versions prior to 4.6.1<\/li>\n<li>Micrium OS, Versions 5.10.1 and prior<\/li>\n<li>Micrium uCOS II\/uCOS III Versions 1.39.0 and prior<\/li>\n<li>NXP MCUXpresso SDK, versions prior to 2.8.2<\/li>\n<li>NXP MQX, Versions 5.1 and prior<\/li>\n<li>Redhat newlib, versions prior to 4.0.0<\/li>\n<li>RIOT OS, Version 2020.01.1<\/li>\n<li>Samsung Tizen RT RTOS, versions prior 3.0.GBB<\/li>\n<li>TencentOS-tiny, Version 3.1.0<\/li>\n<li>Texas Instruments CC32XX, versions prior to 4.40.00.07<\/li>\n<li>Texas Instruments SimpleLink MSP432E4XX<\/li>\n<li>Texas Instruments SimpleLink-CC13XX, versions prior to 4.40.00<\/li>\n<li>Texas Instruments SimpleLink-CC26XX, versions prior to 4.40.00<\/li>\n<li>Texas Instruments SimpleLink-CC32XX, versions prior to 4.10.03<\/li>\n<li>Uclibc-NG, versions prior to 1.0.36<\/li>\n<\/ul>\n<p>Das Dokument listet auch die CVEs sowie verf\u00fcgbare Updates der Hersteller auf. Details zu den Erkenntnissen Microsofts lassen sich im oben verlinkten Beitrag nachlesen. Von Marty Edwards, Vice President of OT Security bei <a href=\"https:\/\/de.tenable.com\/\" target=\"_blank\" rel=\"nofollow noopener\">Tenable<\/a> habe ich Ende April 2021 in diesem Zusammenhang eine kurze Stellungnahme erhalten, die ich hier mal einstelle.<\/p>\n<blockquote><p>Sicherheitsl\u00fccken wie die BadAlloc-Schwachstellen unterstreichen die Notwendigkeit f\u00fcr kritische Infrastrukturen und Fertigungsunternehmen, einen kontinuierlichen Einblick in die Ger\u00e4te, die in ihren Produktionsumgebungen verwendet werden, zu haben. Es reicht nicht mehr aus, das Risiko in regelm\u00e4\u00dfigen Abst\u00e4nden manuell zu bewerten. Wenn der CISO kommt und fragt, ob das Unternehmen diesen neuesten Schwachstellen ausgesetzt ist, sollten die Antwort sofort parat sein. Diese Frage nicht beantworten zu k\u00f6nnen, gibt Angreifern die Oberhand.<\/p>\n<p>Da sich diese Schwachstellen in den Echtzeit-Betriebssystemen befinden, die die Grundlage vieler OT- und IoT-Ger\u00e4te bilden, wei\u00df der Endanwender vielleicht gar nicht, dass er auf diese Produkte zur\u00fcckgreift. Es bleibt zu hoffen, dass die OT-OEM-Anbietergemeinschaft diese Schwachstellen bewertet und feststellt, ob sie ein Risiko in ihren Produkten darstellen. Wir raten Besitzern von OT-Ger\u00e4ten immer dazu, mit ihren Herstellern zusammenzuarbeiten, um Schwachstellen in kritischen Ger\u00e4ten angemessen zu entsch\u00e4rfen. Dieser Fall ist nicht anders.<\/p><\/blockquote>\n<p>Tenable weist in diesem Zusammenhang auf neue Erkenntnisse \u00fcber den Commodity Cryptocurrency Stealer \u201eWeSteal\" und das Commodity RAT \u201eWeControl\" hin, den Forscher von Palo Alto Networks gewinnen konnten:<\/p>\n<blockquote><p>&nbsp;<\/p>\n<p>Unit 42, das Forschungsteam von <a href=\"https:\/\/www.paloaltonetworks.de\/\" target=\"_blank\" rel=\"nofollow noopener\">Palo Alto Networks<\/a>, gibt zudem Erkenntnisse \u00fcber den Commodity Cryptocurrency Stealer \u201eWeSteal\" bekannt. Die IT-Sicherheitsforscher gehen auf die Verschleierung und die Techniken ein, die WeSteal f\u00fcr die Persistenz und den Betrieb verwendet, und untersucht, wer die Nutzer dieser Malware sind. Unit 42 wirft auch einen Blick auf WeSupply, dessen Website den gleichen Namen tr\u00e4gt, und auf den italienischen Malware-Codierer ComplexCodes, den eigentlichen Autor dieser Malware.<\/p>\n<p>Unmittelbar vor der Ver\u00f6ffentlichung dieses Berichts entdeckten die Forscher, dass die Akteure sowohl einige neue Funktionen zu WeSteal erg\u00e4nzt als auch ein neues Commodity-Remote-Access-Tool (RAT) namens WeControl hinzugef\u00fcgt hatten. WeControl ist in \u00e4hnlicher Weise als Tool f\u00fcr illegale Aktivit\u00e4ten konzipiert und wird entsprechend vermarktet.<\/p>\n<p>Es scheint, dass f\u00fcr jeden Takedown und jede strafrechtliche Verfolgung von Commodity-Malware eine andere an deren Stelle tritt. Oft versuchen die Autoren von Commodity-Malware auf perfide Weise, ihrer Malware einen Anschein von Legitimit\u00e4t zu verleihen, eine Strategie, die vor Gericht oft keinen Bestand hat. Der Autor von WeSteal, einem neuen Commodity Cryptocurrency Stealer, unternimmt keinen Versuch, die Absicht f\u00fcr seine Malware zu verschleiern. Der Anbieter verspricht \u201eden f\u00fchrenden Weg zum Geldverdienen im Jahr 2021\".<\/p>\n<p>WeSteal ist eine Commodity-Malware mit einer einzigen, illegalen Funktion f\u00fcr den effektiven Diebstahl von Kryptow\u00e4hrungen. Die wenig anspruchsvollen Akteure, die diese Malware kaufen und einsetzen, sind nichts weniger als Taschendiebe auf der Stra\u00dfe und ihre Verbrechen sind so real wie ihre Opfer. Die schnelle und einfache Monetarisierungskette und die Anonymit\u00e4t des Kryptow\u00e4hrungsdiebstahls, zusammen mit den geringen Kosten und der einfachen Bedienung, machen diese Art von Crimeware zweifellos attraktiv und beliebt bei weniger qualifizierten Cyberkriminellen. Die Forensignatur des Akteurs deutet auf eine Zugeh\u00f6rigkeit zu einer Website hin, die Konten f\u00fcr Dienste wie Netflix und Disney+ verkauft. Die Absicht wird erneut mit dem Discord-basierten Commodity Distributed Denial-of-Service (DDoS)-Angebot von ComplexCode, \u201eSite Killah\", deutlich.<\/p>\n<p>Die leichte Erkennbarkeit und Blockierung der Command-and-Control-Kommunikation arbeitet gegen den italienischen Malware-Autor ComplexCodes. Es ist \u00fcberraschend, dass die Kunden ihre \u201eOpfer\" der potenziellen Kontrolle des Malware-Autors anvertrauen. ComplexCodes k\u00f6nnte sie zweifelsohne seinerseits jederzeit usurpieren und die Bots der Opfer stehlen oder die Wallets der Kunden durch eine seiner eigenen ersetzen. Es ist auch verwunderlich, dass der Malware-Autor eine strafrechtliche Verfolgung f\u00fcr einen sicherlich geringen Gewinn riskieren w\u00fcrde, wenn man bedenkt, wie klein der Kundenstamm ist.<\/p>\n<p>Unternehmen mit effektiver Spam-Filterung, ordnungsgem\u00e4\u00dfer Systemadministration und aktuellen Windows-Hosts haben ein deutlich geringeres Infektionsrisiko. Kunden von Palo Alto Networks sind durch Cortex XDR oder die Next-Generation-Firewall mit WildFire und Threat Prevention-Sicherheitsabonnements zus\u00e4tzlich vor WeSteal und WeControl gesch\u00fctzt. AutoFocus-Benutzer k\u00f6nnen WeSteal- und WeControl-Aktivit\u00e4ten mithilfe der WeSteal- und WeControl-Tags verfolgen.<\/p>\n<p>Palo Alto Networks hat seine Erkenntnisse, einschlie\u00dflich Dateimustern und Indikatoren f\u00fcr eine Kompromittierung, mit den anderen Mitgliedern der Cyber Threat Alliance geteilt. CTA-Mitglieder nutzen diese Erkenntnisse, um ihren Kunden schnell Schutzma\u00dfnahmen bereitzustellen und b\u00f6swillige Cyberakteure systematisch zu st\u00f6ren. Weitere Informationen \u00fcber die Cyber Threat Alliance <a href=\"https:\/\/web.archive.org\/web\/20221010195507\/https:\/\/cyberthreatalliance.org\/\" target=\"_blank\" rel=\"noopener\">finden Sie hier<\/a>.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforscher von Microsoft habe sich Internet of Things (IoT) Software, die in entsprechenden Ger\u00e4ten eingesetzt wird, und Operational Technology-Industriesysteme (OT) genauer angesehen. Dabei sind sie auf \u00fcber zwei Dutzend kritische Remote-Code-Execution-Schwachstellen gesto\u00dfen. Die Folgen betreffen alles, von IoT-Ger\u00e4ten \u00fcber medizinische &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/05\/04\/badalloc-kritische-bugs-in-iot-gerten-und-in-ot-systemen-gefunden\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4493,4328],"class_list":["post-252720","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-iot","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252720","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=252720"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252720\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=252720"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=252720"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=252720"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}