Sicherheitsloch in Netzwerkgeräten bedroht fast alle Unternehmen

23. Juli 2018, 14:04
  • security
image

Router, Switches, IP-Telefone und -Kameras, Printer und vieles mehr: Alle gefährdet, sagt ein Report.

Router, Switches, IP-Telefone und -Kameras, Printer und vieles mehr: Alle gefährdet, sagt ein Report.
"DNS Rebinding" ist eine an sich schon seit 2008 bekannte Methode, durch die Angreifer Geräte in einem Netzwerk in ihre Gewalt bringen können. Anscheinend geriet diese Methode aber in den Jahren seither wieder etwas in Vergessenheit. Im Juni dieses Jahres erregten dann neue Berichte einiger Security-Forscher etwas Aufmerksamkeit, die zeigten, dass durch DNS Rebinding viele Consumer-Devices wie smarte Lautsprecher und ähnliches gekapert werden können.
Ein neuer Report des US-Security-Unternehmens Armis besagt aber nun, dass das Problem viel weitgehender ist. Und dass ein Grossteil aller Unternehmen betroffen sein könnte. Die Sicherheitslücke wird zwar anscheinen von Hackern noch nicht aktiv ausgenützt, laut der Schätzung von Armis ist aber ein Grossteil aller weltweit installierten klassischen Netzwerkgeräte gefährdet: 87 Prozent aller Switches, Router und Access Points, 77 Prozent der IP-Telefone, 75 Prozent der IP-Kameras und 66 Prozent aller Printer.
DNS Rebinding funktioniert laut Armis vor allem, weil sich Geräte innerhalb eines Unternehmensnetzwerks grösstenteils vertrauen, und die Firewall die Kommunikation zwischen ihnen nicht abblockt. Betroffen sind in erster Linie Geräte, deren Logins nicht geändert wurden und die entweder über das UPnP-Protokoll oder einen unverschlüsselten Webserver angesprochen werden können. Und es handelt sich um "agentenlose" Geräte, auf denen keine Security-Software installiert werden kann.
Bevor Angreifer jedoch an diese Geräte herankommen, müssen sie zuerst den Webbrowser eines Mitarbeiters im Unternehmen kapern. Dies kann durch einen Link in einem Mail oder irgendwo im Web geschehen, das den User auf eine mit einem bösartigen JavaScript ausgestattete Webseite führt. Dieses JavaScript wird dann im Browser des Users ausgeführt. Dieser dient so als Proxy hinter der Firewall eines Unternehmens, über den die Angreifer an alle Geräte dahinter herankommen können.
Im nächsten Schritt des Angriffes, wie ihn Armis schildert, scannt der Browser des Users die lokalen IP-Adressen und schickt die Resultate zurück zur bösartigen Website. Beide Schritte, so betont Armis, sind schon Sekunden, nachdem ein User eine bösartige Site betreten hat, erledigt.
Im nächsten Schritt wird dann der Browser von der Website angewiesen, sich beispielsweise in den HTML-Server eines Netzwerkgeräts einzuloggen. Durch DNS Rebinding werden diese Kommandos laut Armis direkt an die IP-Adresse des angegriffenen Geräts geschickt.
Wenn das Login gelingt, können die Angreifer das Gerät kontrollieren und haben verschiedenste Möglichkeiten dies auszunutzen: Sie könnten die Geräte unbrauchbar machen oder manipulieren, sie zu Bots in einem Botnetz machen oder Daten wie von einem Printer gescannte Dokumente, Bilder einer IP-Kamera, SSIDs von Access Points und vieles mehr entwenden. Gekaperte Geräte könnten auch selbst wiederum als Ausgangspunkt verwendet werden, um noch weiter in Netzwerke einzudringen. (Hans Jörg Maron)

Loading

Mehr zum Thema

image

IT-Security: Personalmangel ist das Problem, nicht das Geld

Laut einer internationalen Umfrage sehen Security-Verantwortliche nur bei jedem 10. Unternehmen Probleme wegen des Security-Budgets.

publiziert am 8.8.2022
image

Wie es zur Warnung vor Kaspersky kam

Dokumente des deutschen Amtes für Cybersicherheit stützen die Position von Kaspersky. Der Security-Anbieter kritisierte die BSI-Warnung als politischen Entscheid.

publiziert am 5.8.2022
image

Bund beschafft zentrale Bug-Bounty-Plattform

Das NCSC leitet die künftigen Programme, Bug Bounty Switzerland liefert und verwaltet die Plattform.

publiziert am 3.8.2022
image

Elektronikhersteller Semikron meldet Cyberangriff

Der deutsche Spezialist für Leistungselektronik mit einer Niederlassung in Interlaken wurde mit Ransomware attackiert. Offenbar wurden auch Daten entwendet.

publiziert am 3.8.2022