Thought Leadership
Die Sicherheitsexperten von Kaspersky Lab haben im Rahmen einer Untersuchung eine Reihe unbekannter Schwachstellen in einer Steuereinheit gefunden, die von Tankstellen weltweit eingesetzt wird.
Die Sicherheitslücken betreffen ein Embedded-System, von dem derzeit über tausend Einheiten installiert und online sind. Über die Schwachstellen wären Hacker in der Lage, via Fernzugriff die Kontrolle über betroffene Systeme zu erlangen. Kaspersky Lab hat den Hersteller umgehend nach Entdeckung der Schwachstellen über die Gefahr informiert.
Ido Naor, Sicherheitsexperte bei Kaspersky Lab, fand eine solche Kontrolleinheit zusammen mit einem weiteren Forscher im Rahmen einer anderen, davon unabhängigen Untersuchung. In vielen Fällen wurde die Steuereinheit bereits vor mehr als einem Jahrzehnt in die Tankstellen integriert und ist seitdem mit dem Internet verbunden.
Die unter Linux laufende Steuereinheit arbeitet mit hohen Zugriffsrechten und weist eine Reihe von Schwachstellen auf, die sowohl das Gerät als auch verbundene Systeme angreifbar machen. Die Forscher waren beispielsweise in der Lage, Einstellungen innerhalb des Tankstellensystems einzusehen und zu konfigurieren. Angreifer, die den Anmeldebildschirm umgehen und Zugang zu den Hauptschnittstellen erhalten, wären imstande:
- die Tanksysteme auszuschalten,
- die Treibstoffpreise zu ändern,
- Treibstofflecks zu verursachen,
- Zahlungsterminals zu umgehen, um Geld zu stehlen (die Steuereinheit verbindet sich direkt mit dem Zahlungsterminal, so dass der Zahlungsverkehr gekapert werden kann),
- Fahrzeugkennzeichen und Fahreridentitäten zu sammeln,
- Code auf der Steuereinheit auszuführen
- oder sich frei im Netzwerk der Tankstelle zu bewegen.
„Wenn es um vernetzte Geräte geht, konzentriert man sich gerne auf neue Dinge und vernachlässigt Produkte, die vor vielen Jahren installiert wurden und die das eigene Unternehmen für Cyberangriffe anfällig machen könnten“, so Ido Naor, Senior Security Researcher bei Kaspersky Lab. „Den potenziellen Schaden, der durch die Sabotage einer Tankstelle angerichtet werden könnte, möchte man sich gar nicht vorstellen. Daher haben wir unsere Funde dem Hersteller bereits mitgeteilt.“
Die Sicherheitslücken wurden auch an die Organisation MITRE gemeldet, weitere Untersuchungen laufen.
Kaspersky Lab empfiehlt Herstellern vernetzter IoT-Geräte, bereits bei der Produktentwicklung Sicherheitsaspekte zu berücksichtigen und Altgeräte auf mögliche Sicherheitslücken zu überprüfen. Nutzer vernetzter Geräte sollten regelmäßig die Sicherheit der Geräte überprüfen und sich nicht auf die Werkseinstellungen verlassen.
Weitere Informationen im Kaspersky Blog.
