Anzeige

Sicherheitslücke

Die Liste der durch die Realtek-Sicherheitslücken betroffenen Hardwarehersteller ist lang: AsusTEK, Belkin, D-Link, Edimax, Hama, Logitec, Netgear und viele weitere rüsten ihre WLAN-Devices mit verwundbaren Software Development Kits (SDKs) von Realtek aus.

Eine solche Schwachstelle innerhalb des Realtek RTL819xD-Moduls erlaubt Hackern den Vollzugriff auf das Gerät, installierte Betriebssysteme und weitere Netzwerkgeräte. „Wir haben diese Schwachstelle, die hunderttausende von Geräten umfasst, gefunden und analysiert. Realtek wurde von uns benachrichtigt und hat sofort reagiert und ein passendes Patch zur Verfügung gestellt. Hersteller, die verwundbare Wi-Fi Module einsetzen, sind dringend dazu angehalten, ihre Geräte zu überprüfen und ihren Anwendern Sicherheitspatches zur Verfügung zu stellen“, sagt Florian Lukavsky, Geschäftsführer von IoT Inspector. Die Security Plattform untersucht die Firmware von IoT Geräten wie bspw. Routern, IP-Kameras oder Druckern.
 

Unkontrollierte Supply Chain für hunderttausende Geräte

Die von Realtek zugelieferten Chips werden von nahezu allen bekannten Herstellern verwendet und sind etwa in VoIP- und Wireless-Routern, Repeatern, IP-Kameras und smarten Beleuchtungssteuerungen zu finden. Für einen erfolgreichen Exploit muss sich ein Angreifer für gewöhnlich im selben Wi-Fi-Netzwerk befinden. Fehlerhafte ISP Konfigurationen exponieren jedoch auch eine Vielzahl von verwundbaren Geräten direkt ins Internet. Ein erfolgreicher Angriff würde die vollständige Kontrolle des Wi-Fi-Moduls erlauben ebenso wie einen Root-Zugriff auf das Betriebssystem des eingebetteten Geräts. Insgesamt wurden in dem Chipsatz ein Dutzend Schwachstellen gefunden. „Es gibt derzeit noch viel zu wenig Sicherheitsbewusstsein für Geräte aus diesen Kategorien – weder bei den Nutzern noch bei den Herstellern, die in ihrer Supply Chain ungeprüft auf Bausteine von anderen Herstellern setzen. Diese Komponenten oder Produkte werden so zum unkalkulierbaren Risiko”, warnt Florian Lukavsky von IoT Inspector. Hersteller sind daher dringend dazu angehalten, Richtlinien für IoT Supply Chain Security umzusetzen.
 

Regelmäßige Patches und Updates sind lebenswichtig

Zu diesem Ergebnis kommt auch die aktuelle Studie von Forrester, „The State of IoT Security – 2021“: Nach Hacks von Unternehmenswebsiten rangieren Angriffe auf IoT-Devices wie Router, IP-Kameras und viele mehr auf dem zweiten Platz bei Angriffen. Komplexe Patch-Richtlinien in Unternehmensnetzen und schwer zugängliche Geräte-Umgebungen blockieren den rechtzeitigen Schutz. Da eine physische Benutzeroberfläche in Form eines Screens fehlt, fällt zudem der Bedarf kaum auf – anders als bei einem PC, wo die Systeme nötige Patches und Updates melden können. Laut Forrester verfügen nur 38 Prozent der Sicherheitsentscheider in den Unternehmen weltweit über ausreichende Richtlinien und Tools zum korrekten Management von IoT-Devices. „Wir finden täglich neue Sicherheitslücken, die meisten davon im direkten Auftrag der Hersteller. Das IT-Sicherheitsdenken muss alle Geräte einbeziehen, die in Netzwerken eingebunden sind, regelmäßige Prüfungen und Patches umfassen – und selbst ein Patch ist manchmal sogar die Quelle für eine neue Lücke. Nur wenige betroffene Unternehmen reagieren so schnell und gründlich wie Realtek. Jetzt sind allerdings auch die Hersteller gefragt, verwundbare Realtek Komponenten in ihren Geräten zu patchen, und die Nutzer, ihre Devices zu überprüfen und nötigenfalls zu aktualisieren“, resümiert Florian Lukavsky von IoT Inspector.

www.iot-inspector.com


Weitere Artikel

E-Rechnung

Elektronische Rechnungen kommen zunehmend besser an

Die elektronische Rechnung kommt in Deutschland immer schneller voran. Inzwischen versenden 4 von 10 Unternehmen (43 Prozent) E-Rechnungen. Vor einem Jahr lag der Anteil erst bei rund einem Drittel (3o Prozent), vor drei Jahren war es nur jedes Fünfte (19…
Social Media

Social Media: Nur eine Minderheit folgt Politiker-Accounts

Auf den Social-Media-Accounts von einiger Politikerinnen und Politikern werden sich demnächst wohl direkte Eindrücke aus Sondierungsrunden oder Koalitionsverhandlungen im Bund und einigen Ländern finden. Doch die große Mehrheit der Bürgerinnen und Bürger…
Akquisition

Dynatrace übernimmt SpectX

Das Software-Intelligence-Unternehmen Dynatrace hat die Übernahme des High-Speed-Parsing- und Query-Analytics-Unternehmens SpectX abgeschlossen und bettet künftig die SpectX-Technologie in die eigene Software-Intelligence-Plattform mit ein.
Online-Beratung

Online-Beratung bei Finanzierungsanbietern mit Schwächen

Die Möglichkeiten der Online-Beratung werden von den Finanzierungsanbietern nicht ausgeschöpft. Statt auf individuelle Bedürfnisse der Immobilienkäufer einzugehen, setzen die Baufinanzierer vornehmlich auf Terminvereinbarungen und eine Konditionsermittlung…
it-sa 2021

it-sa 2021 vom 12. bis 14. Oktober in Nürnberg

Auf 52,5 Mrd. Euro schätzt das Institut der deutschen Wirtschaft die finanziellen Schäden, die im letzten Jahr durch Hackerangriffe auf Mitarbeiter im Homeoffice entstanden. Als Fachmesse für IT-Sicherheit widmet sich die it-sa vom 12. bis 14. Oktober der…
Videocall

Ärger um Vergabe von Videosystem geht in nächste Runde

Im juristischen Streit über die Vergabe eines Auftrags für ein landesweites Videokonferenzsystems an Hessens Schulen wehrt sich das Land gegen eine Entscheidung der Vergabekammer. Nach den Worten eines Sprechers des Kultusministeriums in Wiesbaden wurde…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.