Neue Studie von Forescout und Finite State untersucht den Zustand der Software-Lieferkette in OT/IoT-Routern
Forescout Technologies, Inc. ein weltweit führendes Unternehmen im Bereich Cybersicherheit, und Finite State, ein branchenführendes Unternehmen im Bereich der Sicherheit der Software-Lieferkette, gaben heute die Veröffentlichung eines neuen Berichts mit dem Titel „Rough Around the Edges“ bekannt, der den Zustand der Software-Lieferkette in OT/IoT-Routern analysiert, die für die Verbindung kritischer Geräte in verschiedenen Umgebungen mit dem Internet unerlässlich sind. Die Untersuchung ergab, dass OT- und IoT-Mobilfunk-Router sowie andere in kleinen Büros und Privathaushalten verwendete Router veraltete Softwarekomponenten aufweisen, die mit bestehenden („n-day“) Schwachstellen verbunden sind. „Rough Around the Edges“ fand heraus, dass gängige OT/IoT-Router-Firmware-Images durchschnittlich 20 ausnutzbare N-Day-Schwachstellen aufweisen, die den Kernel betreffen, wobei die Sicherheitslücken immer größer werden.
Deutschland hat die höchste Anzahl an exponierten Geräten in der DACH-Region, mit insgesamt über 40 Millionen Geräten. Dazu gehören kritische OT- und IoT-Geräte wie Stromgeneratoren und industrielle Steuerungen, die erhebliche Cybersicherheitsherausforderungen darstellen. Deutschland ist auch das am stärksten von Ransomware-Angriffen betroffene Land in der Region, mit 231 registrierten Vorfällen, die hauptsächlich auf Branchen wie die Fertigung, Technologie und Finanzen abzielen. Zu den am häufigsten ausgenutzten Schwachstellen gehören solche, die in Citrix ADC, Cisco IOS und Huawei Home Gateway-Geräten gefunden werden. 24 Prozent der gefährdeten Geräte in der DACH-Region sind nicht-traditionelle IT-Geräte, die das Risiko von Cyber-Bedrohungen in verschiedenen Sektoren erhöhen, deshalb sind verbesserte Sicherheitsmaßnahmen dringend notwendig.
„Mit der Konvergenz von IoT und OT nehmen die Bedrohungen für vernetzte Geräte durch cyberkriminelle Botnets, nationalstaatliche APTs und Hacktivisten exponentiell zu“, sagt Daniel dos Santos, Head of Research bei Forescout Research – Vedere Labs. „Unsere jüngste Sierra:21-Studie hat ergeben, dass Zehntausende von Geräten mit veralteter Firmware online sind und für Hacker leicht zugänglich sind. Nach der Veröffentlichung von Sierra:21wollten wir den Zustand von Softwarekomponenten in OT/IoT-Netzwerkgeräten anderer Hersteller verstehen und herausfinden, was Bedrohungsakteure entdecken könnten, wenn sie diese Software-Lieferkette genauer unter die Lupe nehmen. Unser Ziel war es nicht, neue Schwachstellen zu finden, sondern zu untersuchen, was bereits bekannt ist („n-day“), aber in den neuesten Firmware-Versionen von Routern noch vorhanden ist.“
Lesen Sie den Blog: Firmware-Schwachstellen sind in Mobilfunk-Routern weit verbreitet
Forescout Research und Finite State analysierten fünf Firmware-Images von bekannten OT/IoT-Router-Anbietern: Acksys, Digi, MDEX, Teltonika und Unitronics. Der Bericht „Rough Around the Edges“ enthält die folgenden Schlüsselergebnisse dieser Analyse:
- OpenWrt ist überall. Vier der fünf analysierten Firmware-Images verwenden Betriebssysteme, die von OpenWrt abgeleitet sind, einem Open-Source-Linux-basierten Betriebssystem für eingebettete Geräte. Diese vier Firmware-Images verwenden jedoch stark modifizierte Versionen des Basis-Betriebssystems, indem sie entweder einzelne Komponentenversionen mit einer Basisversion mischen und anpassen oder ihre eigenen Komponenten selbst entwickeln.
- Die Softwarekomponenten sind oft veraltet. Bei der Analyse wurden in jedem Firmware-Image durchschnittlich 662 Komponenten und 2.154 Feststellungen zu bekannten Schwachstellen, schwachen Sicherheitsvorkehrungen und potenziellen neuen Schwachstellen ermittelt. Bei der Untersuchung wurden 25 gängige Komponenten herausgegriffen und festgestellt, dass die durchschnittliche Open-Source-Komponente fünf Jahre und sechs Monate alt war und vier Jahre und vier Monate hinter der neuesten Version zurücklag. Selbst die neuesten Firmware-Images verwenden nicht die neuesten Versionen von Open-Source-Komponenten, einschließlich kritischer Komponenten wie dem Kernel und OpenSSL.
- Bekannte Sicherheitslücken sind zahlreich. Im Durchschnitt wiesen die Firmware-Images 161 bekannte Schwachstellen in ihren häufigsten Komponenten auf: 68 mit einem niedrigen oder mittleren CVSS-Wert, 69 mit einem hohen Wert und 24 mit einem kritischen Wert. Außerdem wiesen die Firmware-Images durchschnittlich 20 ausnutzbare n-days auf, die den Kernel betrafen.
- Es mangelt an Sicherheitsfunktionen. Im Durchschnitt verwenden 41 % der Binärdateien aller Firmware-Images RELRO, 31 % Stack Canaries, 65 % NX, 75 % PIE, 4 % RPath und 35 % Debugging-Symbole. Die Durchschnittswerte können irreführend sein, da die Unterschiede zwischen den Firmware-Images sehr groß sind. Insgesamt sind alle fünf untersuchten Firmware-Images unzureichend, was die binären Schutzmechanismen angeht.
- Standard-Anmeldeinformationen werden abgeschafft. Obwohl jede Firmware mit Standard-Anmeldeinformationen ausgeliefert wurde, wurden diese häufig einmalig generiert, und der Benutzer war gezwungen, sie bei der Konfiguration eines Geräts zu ändern, wodurch sie unter normalen Umständen nicht ausgenutzt werden konnten.
- Benutzerdefiniertes Patching ist ein Problem. Bei der Analyse wurden Beispiele dafür gefunden, dass Hersteller ihre eigenen Patches für bekannte Schwachstellen anwandten und neue Probleme einführten. Außerdem wurden Schwachstellen gepatcht, ohne die Versionen der Komponenten zu erhöhen, was dazu führte, dass der Benutzer eines Geräts nicht wusste, was anfällig ist und was nicht.
„Der Bericht ‚Rough Around the Edges‘ zeigt einen beunruhigenden Trend zu veralteten Softwarekomponenten in OT/IoT-Routern, wobei viele Geräte modifizierte Versionen von OpenWrt verwenden, die bekannte Schwachstellen enthalten“, sagte Larry Pesce, Director of Product Research and Development bei Finite State. „Diese Ergebnisse zeigen, wie wichtig es ist, die Risiken in der Software-Lieferkette anzugehen, da unsere Analyse durchschnittlich 161 bekannte Schwachstellen pro Firmware-Image identifiziert hat, darunter 24 mit kritischen Werten. Durch die Nutzung der Funktionen unserer Plattform können Unternehmen tiefe Einblicke in die Schwachstellen ihrer Software und in veraltete Komponenten gewinnen, so dass sie Risiken proaktiv angehen und ihre Produkte und Kunden vor sich entwickelnden Cyber-Bedrohungen schützen können.“
Die Untersuchung ergab positive Korrelationen zwischen dem Alter der Komponenten, der Anzahl der bekannten Schwachstellen und den Binärhärtungspraktiken der Hersteller. Wie erwartet, weist Firmware mit neueren Komponenten tendenziell weniger Schwachstellen und einen besseren Binärschutz auf.
„Angesichts der beispiellosen Zunahme von verwalteten und nicht verwalteten Geräten, die sich mit dem Internet verbinden – bis hin zu kritischen Infrastrukturen und darüber hinaus – ist der Bedarf an robusten Cybersicherheitsmaßnahmen so groß wie nie zuvor“, so Barry Mainz, CEO von Forescout. „Um Risiken in einem Umfeld, das zunehmend von Operational Technology (OT) und Internet of Things (IoT) dominiert wird, effektiv zu minimieren, benötigen wir ein umfassendes Anlageninventar, das wichtige Details durch passive und aktive Methoden identifiziert. Die Integration dieser Daten mit Software Bills of Materials (SBOMs) hilft uns, gezielte Risikoinformationen zu liefern und Sicherheitsmaßnahmen durchzusetzen, die für den Schutz unserer digitalen Infrastruktur unerlässlich sind.“