Eine Reihe von 38 Sicherheitsschwachstellen wurde in drahtlosen industriellen Internet-of-Things-Geräten (IIoT) von vier verschiedenen Anbietern entdeckt, die eine bedeutende Angriffsfläche für Bedrohungsakteure darstellen könnten, die versuchen, OT-Umgebungen (Operational Technology) auszunutzen.
„Bedrohungsakteure können Schwachstellen in drahtlosen IIoT-Geräten ausnutzen, um sich einen ersten Zugang zu internen OT-Netzwerken zu verschaffen“, sagte das israelische Unternehmen für industrielle Cybersicherheit Otorio . „Sie können diese Schwachstellen nutzen, um Sicherheitsebenen zu umgehen und in Zielnetzwerke einzudringen, wodurch kritische Infrastrukturen gefährdet werden oder die Produktion unterbrochen wird.“
Die Schwachstellen bieten, kurz gesagt, einen Remote-Einstiegspunkt für Angriffe, der es nicht authentifizierten Angreifern ermöglicht, Fuß zu fassen und sich anschließend als Hebel zu nutzen, um sich auf andere Hosts auszubreiten und so erheblichen Schaden zu verursachen.
Einige der festgestellten Schwachstellen könnten so verkettet werden, dass ein externer Akteur direkten Zugang zu Tausenden von internen OT-Netzwerken über das Internet erhält, so der Sicherheitsforscher Roni Gavrilov.
Von den 38 Fehlern betreffen drei den Remote Access Server (RAS) von ETIC Telecom – CVE-2022-3703, CVE-2022-41607 und CVE-2022-40981 – und könnten dazu missbraucht werden, die Kontrolle über anfällige Geräte vollständig zu übernehmen.
Fünf weitere Schwachstellen betreffen InHand Networks InRouter 302 und InRouter 615, die, wenn sie ausgenutzt werden, zur Einspeisung von Befehlen, zur Offenlegung von Informationen und zur Codeausführung führen können.
Konkret geht es darum, Probleme in der „Device Manager“-Cloud-Plattform auszunutzen, die es den Betreibern erlaubt, Remote-Aktionen wie Konfigurationsänderungen und Firmware-Upgrades durchzuführen, um jedes Cloud-verwaltete InRouter-Gerät mit Root-Rechten zu kompromittieren.
Auch wurden zwei Schwachstellen in Sierra Wireless AirLink Router (CVE-2022-46649 und CVE-2022-46650) identifiziert, die den Verlust sensibler Informationen und die Ausführung von Remotecode ermöglichen könnten. Die übrigen Schwachstellen befinden sich noch im Stadium der verantwortlichen Offenlegung.
Die Ergebnisse unterstreichen, wie OT-Netzwerke gefährdet werden könnten, indem IIoT-Geräte direkt über das Internet zugänglich gemacht werden, wodurch effektiv ein „Single Point of Failure“ geschaffen wird, der alle Sicherheitsvorkehrungen umgehen kann.
Alternativ können lokale Angreifer in industrielle Wi-Fi-Zugangspunkte und Mobilfunk-Gateways eindringen, indem sie auf die Wi-Fi- oder Mobilfunkkanäle vor Ort abzielen, was zu Adversary-in-the-Middle (AitM)-Szenarien mit nachteiligen Auswirkungen führt.
The assaults can range from targeting weak encryption schemes to coexistence attacks aimed at combo chips used widely in electronic devices.
To pull this off, threat actors can utilize platforms like WiGLE – a database of different wireless hotspots worldwide – to identify high-value industrial environments, physically locate them, and exploit the access points from close proximity, Otorio noted.
Als Gegenmaßnahmen wird empfohlen, unsichere Verschlüsselungssysteme zu deaktivieren, Wi-Fi-Netzwerknamen zu verbergen, ungenutzte Cloud-Verwaltungsdienste zu deaktivieren und Schritte zu unternehmen, um zu verhindern, dass Geräte öffentlich zugänglich sind.
„Die geringe Komplexität des Exploits in Kombination mit den weitreichenden potenziellen Auswirkungen macht drahtlose IIoT-Geräte und ihre Cloud-basierten Management-Plattformen zu einem verlockenden Ziel für Angreifer, die in industrielle Umgebungen eindringen wollen“, so das Unternehmen.
Die Entwicklung kommt auch, da Otorio Details zu zwei hochgradigen Schwachstellen im Siemens Automation License Manager (CVE-2022-43513 und CVE-2022-43514) veröffentlicht hat, die kombiniert werden können, um Remotecodeausführung und Privilegienerweiterung zu erreichen. Die Schwachstellen wurden von Siemens im Januar 2023 gepatcht.