Gefahr für Millionen von Industrie-Geräten

Kritische Sicherheitslücken in Cinterion-Modems gefunden

Modem
LinkedInXingPocketWhatsAppFlipboard

Cinterion-Mobilfunkmodems weisen kritische Sicherheitslücken auf, wie eine aktuelle Analyse des Kaspersky ICS CERT zeigt. Indem sie diese ausnutzen, können Angreifer beliebigen Code ausführen; die Sicherheitslücken stellen eine große Bedrohung für Millionen industrieller Geräte dar.

Die Experten des Kaspersky ICS CERT haben schwerwiegende Sicherheitslücken in Cinterion-Mobilfunkmodems entdeckt. Diese kommen in Millionen von Geräten zum Einsatz, unter anderem in den Branchen Industrie, Gesundheitswesen, Automobil, Finanzen und Telekommunikation, und sind für die weltweite Netzinfrastruktur von entscheidender Bedeutung. Die gefundenen Schwachstellen ermöglichen die Remote-Ausführung von Code und die unbefugte Ausweitung von Berechtigungen, so dass sie erhebliche Risiken für integrierte Kommunikationsnetzwerke und IoT-Geräte darstellen.

Zu den riskantesten gefundenen Sicherheitslücken zählt CVE-2023-47610. Dabei handelt es sich um eine Heap-Overflow-Schwachstelle innerhalb des SUPL Message Handlers des Modems. Dadurch können Angreifer remote beliebigen Code per SMS ausführen und erhalten umfassenden Zugriff auf das Betriebssystem des Modems. Dieser Zugriff erleichtert die Manipulation der RAM- und Flash-Speicher und erhöht das Potenzial, die vollständige Kontrolle über die Funktionen des Modems zu erlangen – ohne Authentifizierung oder physischen Zugriff auf das Gerät.

Anzeige

Weitere Sicherheitslücken bei MIDlets

Im Zuge der Untersuchungen wurden weitere erhebliche Sicherheitslücken beim Umgang mit MIDlets, Java-basierten Anwendungen, die auf den Modems laufen, entdeckt. Dadurch kann die Integrität dieser Anwendungen kompromittiert werden, da Angreifer damit die Prüfung digitaler Signaturen umgehen und so unberechtigt Code mit erhöhten Rechten ausführen können. Dies stellt nicht nur ein erhebliches Risiko für die Vertraulichkeit und Integrität der Daten dar, sondern erhöht auch die Bedrohung für die allgemeine Netzwerksicherheit und Geräteintegrität.

„Die von uns gefundenen Schwachstellen sowie der weit verbreitete Einsatz dieser Geräte in verschiedenen Branchen könnten weltweit zu weitreichenden Störungen führen – von wirtschaftlichen und betrieblichen Auswirkungen bis hin zu Sicherheitsproblemen“, fasst Evgeny Goncharov, Head of Kaspersky ICS CERT, zusammen. „Da solche Modems typischerweise in einer Matrjoschka-Form in andere Lösungen integriert sind und Produkte eines Anbieters auf denen weiterer aufbauen, ist die Zusammenstellung einer Liste der betroffenen Endprodukte eine Herausforderung. Betroffene Anbieter müssen umfangreiche Anstrengungen unternehmen, um den Risiken Herr zu werden, allerdings dürfte dies nur durch die Telekommunikationsbetreiber möglich sein. Wir hoffen, dass unsere eingehende Analyse allen Stakeholdern dabei hilft, entsprechende Sicherheitsmaßnahmen umzusetzen und einen wertvollen Input für die zukünftige Cybersicherheitsforschung darstellt.“

Kaspersky hat Informationen zu den gefundenen Schwachstellen vorab mit dem Hersteller geteilt. Die Cinterion-Modems, die ursprünglich von Gemalto entwickelt wurden, sind Eckpfeiler der Machine-to-Machine- (M2M) und IoT-Kommunikation und unterstützen eine breite Palette von Anwendungen – von der industriellen Automatisierung und Fahrzeugtelematik bis hin zu Smart Metering und Gesundheitsüberwachung. Gemalto, der ursprüngliche Entwickler, wurde später von Thales übernommen. Im Jahr 2023 übernahm Telit das Geschäft mit Mobilfunk-IoT-Produkten von Thales, einschließlich der Cinterion-Modems.

Empfehlungen zum Schutz vor Angriffen

  • Grundlegend, um der Bedrohung CVE-2023-47610 zu begegnen: Nicht unbedingt erforderliche SMS-Nachrichtenfunktionen umgehend deaktivieren und private APNs mit strengen Sicherheitseinstellungen nutzen.
  • Für die Zero-Days CVE-2023-47611 bis CVE-2023-47616: Eine strenge digitale Signaturüberprüfung für MIDlets durchsetzen, den physischen Zugriff auf Geräte kontrollieren und regelmäßige Sicherheitsüberprüfungen und -updates durchführen.
  • Das Sicherheitsteam sollte stets Zugriff auf aktuelle Bedrohungsdaten haben
  • Eine zuverlässige Endpunktschutzlösung implementieren, die Anomalien im Dateiverhalten erkennen und dateilose Malware-Aktivitäten aufdecken kann.
  • Sicher stellen, dass auch industrielle Endpoints umfassend geschützt sind. Dedizierte Lösungen bieten Schutz für Endpoints sowie Funktionen zur Netzwerküberwachung, um verdächtige und potenziell schädliche Aktivitäten im industriellen Netzwerk aufzudecken.
  • Den Einsatz cyberimmuner Lösungen erwägen, um einen integrierten Schutz gegen Cyberangriffe aufzubauen.

(lb / Kaspersky)


Anzeige

Weitere Artikel

In fünf Schritten zum funktionalen Security Operations Center
Bedrohungen verstehen und Verteidigung stärken
Cybersicherheit: Die 4 häufigsten Irrtümer
Was bedeuten die neuen NIS2-Anforderungen konkret?
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.