Aktuelles, Branche - geschrieben von cp am Donnerstag, Juli 4, 2019 22:10 - noch keine Kommentare
Smart Home-Systeme gefährdet durch Schwachstellen bei SSH-Maschinenidentitäten
Wenige Zeilen Code zum Verriegeln und Entsperren von „intelligenten“ Schlössern
[datensicherheit.de, 04.07.2019] Nach einem Bericht des IT-Magazins Techcrunch haben zwei Sicherheitsforscher Sicherheitslücken im Smart Home-System Zipato gefunden. Die Schwachstellen wurden zwar vom Hersteller behoben, werfen jedoch ein generelles Problem von Smart Home-Systemen auf. Denn die Forscher konnten den privaten SSH-Schlüssel des Hubs auf „root“ setzen und damit das Benutzerkonto mit der höchsten Zugriffsstufe von der Speicherkarte auf dem Gerät extrahieren. Letztlich kann jeder mit dem privaten SSH-Schlüssel auf das Smart Home- bzw. IoT-Gerät zugreifen, ohne einen Schlüssel zu benötigen. Darüber hinaus entdeckten sie, dass der private SSH-Schlüssel in jedem Hub, der an Kunden verkauft wurde, fest kodiert war – was jedes Smart Home mit dem gleichen Hub gefährdet.
Wenige Zeilen Code zum Verriegeln und Entsperren von „intelligenten“ Schlössern
Mit dem privaten Schlüssel luden die Forscher eine Datei von der Vorrichtung herunter, die verschlüsselte Passwörter für den Zugriff auf den Hub enthielt. Sie fanden heraus, dass der Smart Hub ein „pass-the-hash“-Authentifizierungssystem verwendet, bei dem das Klartextpasswort des Benutzers nicht bekannt sein muss, sondern nur die verschlüsselte Version. Indem sie das verschlüsselte Passwort nahmen und es an den intelligenten Hub weitergaben, konnten die Forscher das Gerät dazu bringen, zu denken, dass sie der Hauseigentümer waren. Alles, was ein Angreifer tun musste, war, einen Befehl zu senden, um das Schloss zum Öffnen oder Schließen anzuweisen. Mit nur wenigen Zeilen Code bauten die Forscher ein Skript, das ein intelligentes Schloss, das mit einem verwundbaren Smart Hub verbunden war, verriegelte und entsperrte.
Kevin Bocek, VP Threat Intelligence & Security Strategy bei Venafi
Kevin Bocek, VP Threat Intelligence & Security Strategy bei Venafi kommentiert: „Smart Home Controller, die überall die gleiche, fest programmierte SSH-Maschinenidentität verwenden, stellen ein massives Sicherheitsrisiko dar. In diesem Fall erhält ein Angreifer mit Zugriff auf die verschlüsselte Version des SSH-Schlüssels sofort Zugriff auf jedes Gerät; es ist wie der Gewinn eines Exploit-Jackpots. Es kann Angreifern buchstäblich die Möglichkeit geben, das betroffene Haus ‚freizuschalten‘“.
Problem allgegenwärtig
Man sollte meinen, dass dieses Risiko relativ ungewöhnlich wäre, aber wir haben die gleichen Probleme im Notfallsystem in den USA gesehen und wir wissen durch einen Vortrag von Sicherheitsforschern auf der Defcon, dass jede vierte Amazon-Wolke eine Hintertür mit SSH-Schlüsseln hat. Das Ausmaß ist enorm: Jedes IoT-Gerät, jeder Cloud-Service und jeder Container hat einen Schlüssel, den Cyber-Angreifer gerne nutzen.
Das Problem ist, dass die meisten Unternehmen die Risiken, die mit Maschinenidentitäten wie SSH-Schlüsseln verbunden sind, nicht verstehen; und wenn so etwas passiert, merken sie schnell, dass sie nicht über die richtigen Werkzeuge verfügen, die sie brauchen, um es zu lösen, zum Beispiel den schnellen und automatischen Austausch dieser Schlüssel.“
Weitere Informationen zum Thema:
datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten
datensicherheit.de, 07.06.2019
ForgeRock: Datendiebstähle werden für Unternehmen immer kostspieliger
datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle
datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche, Studien - Dez 6, 2024 13:54 - noch keine Kommentare
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
weitere Beiträge in Branche
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren