Identifizieren der Top-Sicherheitslücken in Netzwerken: alte Lücken, IoT Botnets, Exploits für drahtlose Verbindungen

Originalbeitrag von Tony Yang, Adam Huang und Louis Tsai

Mithilfe des IoT Smart Checker, einem Tool, das Netzwerke auf mögliche Sicherheitsrisiken scannt, untersuchten die Sicherheitsforscher Heim- und kleinere Netzwerkumgebungen und Sicherheitslücken, die vernetzte Geräte üblicherweise aufweisen. Die am häufigsten entdeckten Sicherheitslücken waren die bereits bekannten oder auch IoT Botnets. Vom 1. April bis zum 15. Mai fanden die Forscher, dass 30 Prozent der Heimnetzwerke mindestens eine Sicherheitslücke aufwies.  Das bedeutete in diesem Zusammenhang, dass die Forscher mindestens ein vernetztes Gerät fanden, dass über eine Lücke zugänglich war. Das Scanning betraf verschiedene Betriebssysteme, einschließlich Linux, Mac, Windows, Android, iOS und weitere Software Development Kit (SDK)-Plattformen.

Interessanterweise waren die Top-Entdeckungen nicht die üblicherweise zu erwartenden Schwächen in Heimnetzwerken. Es gab ein paar Default Passwort-Anmeldungen, wie diejenigen, die Mirai und Brickerbot-Malware ausnutzten, doch die Top-Schwachstellen waren solche, die bereits seit ein paar Jahren bekannt waren.


Bild 1. Top 10 der Schwachstellen in vernetzten Geräten

Als Gateways zu internetfähigen Geräten in Netzwerken waren Router die Geräte, in denen die meisten Schwachstellen gefunden wurden. Die stark verbreitete Poodle-Sicherheitslücke in Secure Sockets Layer (SSL) und früher Transport Layer Security (TLS) betrifft zum Beispiel hauptsächlich Router und Drucker. Angreifer, die die Lücke erfolgreich ausnutzen, können jeden verschlüsselten Datenverkehr, den sie kapern können, entschlüsseln. Drown, eine weitere bekannte Sicherheitslücke, betrifft in erster Linie Router; sie betrifft Hypertext Transfer Protocol Secure (HTTPS) und jeden Server oder Client, der SSLv2- und TLS-Verbindungen zulässt.

Die von der WannaCry-Ransomware ausgenutzte Sicherheitslücke bleibt allgegenwärtig, und taucht auch in den Top-Erkennungen auf. Andere bemerkenswerte Sicherheitslücken sind die SambaCry Linux-Schwachstelle, der OpenSSL Heartbleed Bug, die in Routern Remote Code-Ausführung CVE-2014-9583 -Schwachstelle und die  in Network Attached Storage (NAS)Remote Code-Ausführung CVE-2017-6361-Schwachstelle.

Bild 2. Top betroffen Ports

Solange Netzwerkadministratoren nicht nicht benötigte Ports deaktivieren oder zumindest feststellen, welche Ports offen sind, um die Sicherheit besser zu verwalten, können offene Ports auf Geräten sehr wohl zu Angriffen auf die Netzwerke führen. Der Scan der betroffenen Ports zeigte, dass Port 443 die anderen Top-Ports auf der Liste deutlich in den Schatten stellte. Port 443 ist der Standard-Port des Transmission Control Protocol (TCP), der für HTTPS-Websites mit SSL verwendet wird. Für Poodle und Drown bedarf es Schwachstellen in SSL oder seinem Nachfolger TLS. Ein weiterer stark betroffener Port ist der Server Message Block (SMB) Port 445, der vom EternalBlue Exploit genutzt wird, der 2017 dem berüchtigten Ausbruch von WannaCry Platz machte.

Von IoT-Botnets ausgenutzte Sicherheitslücken

Auch Sicherheitslücken in Verbindung mit IoT Botnets zeigten sich in den Top-Erkennungen. Zwei Lücken in den Top-10 etwa sind welche, die das Reaper Botnet ausnutzt. Reaper verwendet eine Mischung aus neun Angriffen, die auf bekannte IoT-Lücken zielen. Router, Internet Protocol (IP)-Überwachungskameras und NAS-Geräte sind besonders anfällig für Reaper.

Satori, der Nachfolger des Mirai Botnets, steht ebenfalls in der Top-Liste mit der Remote Code Execution-Lücke CVE-2014-8361. Wie auch Mirai, ist Satoris Quellcode öffentlich und kann von jedem Angreifer genutzt werden. Das erklärt vielleicht auch sein Vorkommen auf der Liste. Satori verteilt sich selbst durch Scannen von angreifbaren Geräten und deren Kompromittierung.

Android- und iOS-Mobilgeräte sind anfällig für BlueBorne und KRACK

Bedrohungen wie BlueBorne und KRACK können Geräte über Funk kompromittieren, wenn die Angreifer in Reichweite sind. BlueBorne beispielsweise lässt Angreifer den Verkehr zwischen Bluetooth-Geräten sniffen, mitschneiden oder umleiten, um Zugriff auf die Daten zu erlangen. Der KRACK (Key Reinstallation AttaCK)-Exploit wiederum nutzt einige Sicherheitslücken im Wi-Fi Protected Access 2 (WPA2)-Protokoll aus, sodass ein Angreifer in den Nutzerdaten schnüffeln kann.

Bild 3. 58 Prozent der entdeckten Android-Geräte sind anfällig für BlueBorne und KRACK

In diesem Fall wurden Android- und iOS-Geräte mit Bluetooth- und WLAN-Fähigkeiten als durch diese zwei Bedrohungen gefährdet eingestuft. Dabei sind 58% der Android-Geräte betroffen und 12% der iOS-Smartphones. Patches für iOS-Nutzer gibt es bereits, vielleicht daher auch die niedrige Zahl.

Bild 4. 12 Prozent der iOS-Geräte sind anfällig auf BlueBorne und KRACK

Sichern von vernetzten Geräten gegen Sicherheitslücken und Exploits

Angriffe auf die erwähnten Sicherheitslücken lassen sich einfach vermeiden, wenn die Patches aufgespielt werden. Doch nicht alle Hersteller veröffentlichen Fixes für die Lücken.

Nutzer sollten die Art, wie ihre Netzwerke aufgesetzt sind, sichern. Aktivieren von Passwortschutz auf Routern und vernetzten Geräten sowie das Ersetzen von Default-Passwörtern durch starke, schwer zu erratende ist ein Schritt in die richtige Richtung. Für einen sicheren Schutz kann die Trend Micro™ Home Network Security-Lösung den Internetverkehr zwischen dem Router und allen vernetzten Geräten prüfen. Der IoT Smart Checker wurde in die Lösung integriert und auch in den HouseCall™ for Home Networks-Scanner. Unternehmen können auch alle Ports und Netzwerkprotokolle nach fortgeschrittenen Bedrohungen monitoren und sich vor gezielten Angriffen mit Hilfe der  Trend Micro™ Deep Discovery™ Inspector Netzwerk Appliance schützen.

Die Nutzer von Trend Micro Home Network Security sind über diese Regeln vor der Bedrohung geschützt:

  • 1058981 WEB Directory Traversal -21
  • 1059406 SSL OpenSSL TLS DTLS Heartbeat Information Disclosure -1 (CVE-2014-0160, Heartbleed)
  • 1059407 SSL OpenSSL TLS DTLS Heartbeat Information Disclosure -2 (CVE-2014-0160, Heartbleed)
  • 1130118 SSL OpenSSL SSLv3 POODLE Padding Brute Force (CVE-2014-3566)
  • 1130327 EXPLOIT ASUSWRT 3.0.0.4.376_1071 LAN Backdoor Command Execution (CVE-2014-9583)
  • 1133637 SMB Microsoft MS17-010 SMB Remote Code Execution -3
  • 1133638 SMB Microsoft MS17-010 SMB Remote Code Execution -4
  • 1134286 WEB Realtek SDK Miniigd UPnP SOAP Command Execution (CVE-2014-8361)

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.