Anzeige

Router Security

Im Frühjahr 2021 identifizierte Tenable mehrere Sicherheitslücken in verschiedenen Heimnetzwerk-Routern des Herstellers Buffalo, die in Japan in Umlauf kamen. Wenn Hacker einige dieser Sicherheitslücken ausnutzen, wäre mitunter auch eine Kompromittierung der an die Router angebundenen Geräte möglich.

Betroffen sind laut Tenable mittlerweile mindestens 20 Router- und Modem-Modelle verschiedener Hersteller, die in Nordamerika, Europa, auch in Deutschland, und im asiatisch-pazifischen Rauf vermarktet wurden. Dass einige der Sicherheitslücken nicht nur Buffalo betreffen, sondern es sich um eine herstellerübergreifende Schwachstelle handelt, hat sich im Verlauf der Untersuchung von Tenable ergeben. Als Übeltäter entpuppte sich CVE-2021-20090, eine Path Traversal/Authentication Bypass-Schwachstelle, in der zugrundeliegenden Arcadyan-Software. 

Entwickler greifen für die immer komplexere Software auf bereits verfügbaren Programmiercode in Softwarebibliotheken zurück. Die Drittanbieter legen aber ihre Sicherheitspolitik nicht transparent dar, so dass sich Sicherheitsmängel über die Lieferkette bis ins marktfertige Produkt fortsetzen können. Die Hersteller hatten diese Problematik bislang nicht auf dem Schirm. Die betroffenen Router und Modems, die auf unsicherer Arcadyan-Software aufbauen, zeigen, dass das Sicherheitsmanagement entlang der Lieferkette zu einer Herausforderung wird. Sicherheitslücken in einer gemeinsam genutzten Bibliothek müssten die Beteiligten eigentlich umgehend melden, weiterverfolgen und vor allem beheben. Durch jeden weiteren Anbieter und jedes betroffene Produkt wächst die Angriffsfläche immer weiter, was es schwieriger macht, das Problem einzudämmen.

Politik reagiert mittlerweile

Da die Abhängigkeit der Verbraucher und Unternehmen von intelligenten ITK-Geräten zunimmt, gibt es Initiativen auf nationaler Ebene und seitens der EU, um die Cybersicherheit in den Griff zu bekommen. Das Problem wird auch im Cybersecurity Act, einer aktuellen EU-Verordnung, thematisiert: „Digitalisierung und Konnektivität werden zu zentralen Merkmalen einer ständig wachsenden Zahl von Produkten und Dienstleistungen. Mit dem Aufkommen des Internets der Dinge (IoT) ist zu erwarten, dass in den nächsten zehn Jahren in der gesamten Union eine extrem hohe Zahl von vernetzten digitalen Geräten eingesetzt wird. Während immer mehr Geräte mit dem Internet verbunden sind, sind Sicherheit und Belastbarkeit nicht ausreichend integriert, was zu unzureichender Cybersicherheit führt.“

Immer wieder tauchen in Softwarecode oder gemeinsam genutzten Bibliotheken Sicherheitslücken auf. Werden diese entdeckt, gilt es deren mögliche Auswirkungen auf Verbraucher und Hersteller zu ermitteln. In der Praxis findet jedoch ein effektives Schwachstellenmanagement nicht in erforderlichem Maße statt. Die Schwachstellen betreffen mittlerweile aber nicht nur Consumer-Geräte, sondern auch Betriebstechnik (OT) und IoT-Komponenten. Es hapert an der Zuordnung von Schwachstellen in gängigen Softwarebibliotheken, während die Schwachstellen im Rahmen von Projekten immer weiter durchgereicht werden und sich auf Produktebene in der Fläche ausbreiten.

Zuvor blieben Warnungen oft ungehört

Die Softwarecommunity hat Regierungen, Unternehmen und Verbraucher bereits oft vor einem spektakulären Cyberangriff wie zuletzt auf SolarWinds gewarnt. Richtlinie und Regierungsinitiativen, wie auch die zuletzt veröffentlichte Cybersecurity Executive Order (EO) in den USA, werden derlei Cyberangriffe nicht aufhalten, sind aber ein guter Anfang. Nach einem weitreichenden Angriff wie dem von SolarWinds ist es zumindest ermutigend, dass die Bedrohung nun auf offizieller politischer Ebene ins Bewusstsein rückt. So müssen innerhalb des nächsten Jahre alle Softwareanbieter, die für die US-Bundesregierung arbeiten, einen etablierten Softwareentwicklungslebenszyklus vorweisen. Dies spricht direkt die klaffenden Sicherheitsprobleme in der Lieferkette an, auf die der Fall SolarWinds aufmerksam gemacht hat. Ein kompromittiertes Kettenglied kann die gesamte Lieferkette gefährden. 

Ein Teil der neuen Richtlinien beinhaltet Meldepflichten für Softwarelieferanten. Dies erzwingt die dringend benötigte Transparenz und Verantwortlichkeit im gesamten privaten Sektor, die zu lange unbeachtet blieb. Diese Änderung sollte von allen begrüßt werden, von Technologieanbietern, Regierungsbehörden und Endanwendern. Neben der Schwachstellenproblematik drohen zeitgleich immer „innovativere“ Ransomware-Angriffe auf MSPs und deren Kunden. Die Angreifer nutzen Zero-Day-Sicherheitslücken beispielsweise in Kaseya VSA aus, ermutigt durch das Erfolgserlebnis mit NotPetya. Werden nun Sicherheitslücken in Software entdeckt, die sich Hersteller teilen, gilt es in der Lieferkette sämtliche Akteure von Softwareprojekten, Hersteller, aber auch Endbenutzer zu identifizieren und zu warnen. 

Branche will künftig widerstandsfähiger werden

Resilienz gegen Cyberangriffe auf die Lieferkette erfordert es, das Thema Sicherheit als unverzichtbar zu betrachten. Dies gilt für das eigene Portfolio ebenso wie für die Produkte, Komponenten und Dienste von Drittanbietern. Alle beteiligten Akteure müssen an der Verbesserung ihrer Sicherheitslage arbeiten und dies auch von Zulieferern einfordern. So lässt sich das Risiko entlang der Lieferkette reduzieren und ein effektiver Notfallplan umsetzen, um Endbenutzer zu schützen. Die quantitativ zunehmenden Cybersicherheitsvorfälle und qualitativ besonders ausgefeilte Angriffe auf die Softwarelieferkette erfordern eine konzertierte Reaktion von Gesetzgebung, Herstellern und Sicherheitsforschern. Es geht nun um die richtigen Praktiken, um Sicherheitslücken ans Licht zu bringen, zu melden und entlang der gesamten Lieferkette konsequent zu beheben. 

de.tenable.com
 


Artikel zu diesem Thema

Router
Aug 04, 2021

Zero-Day-Schwachstelle: Millionen Home-WLAN-Router ungeschützt

Tenable hat auf ein branchenweites Sicherheitsproblem hingewiesen, das durch die…
US-Präsident Biden
Mai 19, 2021

US-Präsident Biden erlässt Cyber Executive Order (EO)

In der vergangenen Woche hat die US-Regierung um Präsident Biden weitreichende Erlasse…
Schloss und Netzwerkkabel auf EU-Karte
Dez 29, 2019

EU Cybersecurity Act - ein zahnloser Tiger?

Angriffe von Cyberkriminellen bedrohen nicht nur die Wirtschaft, sondern jeden von uns.…

Weitere Artikel

mobile security

Mobile Security - was man über das “Mobilsein” wissen sollte

In einer Welt, in der das eigene Handy - so denkt man - nicht mehr aus den Augen gelassen wird, geht der Mensch oft davon aus, dass es auch entsprechend sicher ist: Immerhin hat niemand sonst Zugriff auf das Gerät.
Wahl-O-Mat

Wahl-O-Mat und WahlSwiper im Datenschutz-Test

Am 26. September ist Bundestagswahl. Doch fast jede zweite wahlberechtigte Person weiß noch nicht, wem sie seine Stimme geben soll. Für Unentschlossene stellen Wahlhilfe-Apps wie der Wahl-O-Mat oder der WahlSwiper eine echte Hilfe bei der Wahlentscheidung dar.
Bildquelle: Fascinadora / Shutterstock.com

Kostenlose Do-it-yourself-Spionage über den Google Play Store

Pieter Arntz musste nämlich feststellen, dass er den Aufenthaltsort seiner Frau ausspionieren konnte – ohne Spionagetool, völlig kostenlos. Übeltäter war hier der Google Account.
Telefonbetrug

Betrug am Telefon: Mehr als nur der Enkeltrick

Wenn man an Betrugsversuche am Telefon denkt, fällt einem als erstes vermutlich der sogenannte Enkeltrick ein, mit dem hilfsbereite Senioren um ihr Geld gebracht werden sollen.
Bundestagswahl

Wahlkampf-Apps im Datenschutz-Test

Die Bundestagswahl 2021 steht vor der Tür und viele Parteien nutzen im Wahlkampf partei-eigene Apps, um ihre Wähler:innen gezielter zu mobilisieren. In den Apps können Informationen vermerkt werden wie Tür geöffnet? Kandidat:in bekannt? Wahlabsicht vorhanden?

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.