Aktuelles, Branche - geschrieben von cp am Donnerstag, Juli 4, 2019 22:10 - noch keine Kommentare
Smart Home-Systeme gefährdet durch Schwachstellen bei SSH-Maschinenidentitäten
Wenige Zeilen Code zum Verriegeln und Entsperren von „intelligenten“ Schlössern
[datensicherheit.de, 04.07.2019] Nach einem Bericht des IT-Magazins Techcrunch haben zwei Sicherheitsforscher Sicherheitslücken im Smart Home-System Zipato gefunden. Die Schwachstellen wurden zwar vom Hersteller behoben, werfen jedoch ein generelles Problem von Smart Home-Systemen auf. Denn die Forscher konnten den privaten SSH-Schlüssel des Hubs auf „root“ setzen und damit das Benutzerkonto mit der höchsten Zugriffsstufe von der Speicherkarte auf dem Gerät extrahieren. Letztlich kann jeder mit dem privaten SSH-Schlüssel auf das Smart Home- bzw. IoT-Gerät zugreifen, ohne einen Schlüssel zu benötigen. Darüber hinaus entdeckten sie, dass der private SSH-Schlüssel in jedem Hub, der an Kunden verkauft wurde, fest kodiert war – was jedes Smart Home mit dem gleichen Hub gefährdet.
Wenige Zeilen Code zum Verriegeln und Entsperren von „intelligenten“ Schlössern
Mit dem privaten Schlüssel luden die Forscher eine Datei von der Vorrichtung herunter, die verschlüsselte Passwörter für den Zugriff auf den Hub enthielt. Sie fanden heraus, dass der Smart Hub ein „pass-the-hash“-Authentifizierungssystem verwendet, bei dem das Klartextpasswort des Benutzers nicht bekannt sein muss, sondern nur die verschlüsselte Version. Indem sie das verschlüsselte Passwort nahmen und es an den intelligenten Hub weitergaben, konnten die Forscher das Gerät dazu bringen, zu denken, dass sie der Hauseigentümer waren. Alles, was ein Angreifer tun musste, war, einen Befehl zu senden, um das Schloss zum Öffnen oder Schließen anzuweisen. Mit nur wenigen Zeilen Code bauten die Forscher ein Skript, das ein intelligentes Schloss, das mit einem verwundbaren Smart Hub verbunden war, verriegelte und entsperrte.
Kevin Bocek, VP Threat Intelligence & Security Strategy bei Venafi
Kevin Bocek, VP Threat Intelligence & Security Strategy bei Venafi kommentiert: „Smart Home Controller, die überall die gleiche, fest programmierte SSH-Maschinenidentität verwenden, stellen ein massives Sicherheitsrisiko dar. In diesem Fall erhält ein Angreifer mit Zugriff auf die verschlüsselte Version des SSH-Schlüssels sofort Zugriff auf jedes Gerät; es ist wie der Gewinn eines Exploit-Jackpots. Es kann Angreifern buchstäblich die Möglichkeit geben, das betroffene Haus ‚freizuschalten‘“.
Problem allgegenwärtig
Man sollte meinen, dass dieses Risiko relativ ungewöhnlich wäre, aber wir haben die gleichen Probleme im Notfallsystem in den USA gesehen und wir wissen durch einen Vortrag von Sicherheitsforschern auf der Defcon, dass jede vierte Amazon-Wolke eine Hintertür mit SSH-Schlüsseln hat. Das Ausmaß ist enorm: Jedes IoT-Gerät, jeder Cloud-Service und jeder Container hat einen Schlüssel, den Cyber-Angreifer gerne nutzen.
Das Problem ist, dass die meisten Unternehmen die Risiken, die mit Maschinenidentitäten wie SSH-Schlüsseln verbunden sind, nicht verstehen; und wenn so etwas passiert, merken sie schnell, dass sie nicht über die richtigen Werkzeuge verfügen, die sie brauchen, um es zu lösen, zum Beispiel den schnellen und automatischen Austausch dieser Schlüssel.“
Weitere Informationen zum Thema:
datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten
datensicherheit.de, 07.06.2019
ForgeRock: Datendiebstähle werden für Unternehmen immer kostspieliger
datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle
datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten
Aktuelles, Branche, Gastbeiträge - Mai 13, 2025 16:05 - noch keine Kommentare
Domain-Hijacking: Wie Unternehmen ihre digitale Identität verlieren können
weitere Beiträge in Experten
- Datenschutz bedroht: Einstweilige Verfügung der Verbraucherzentrale NRW gegen Meta
- Mit PayPal an der Ladenkasse zahlen – David Riechmann kommentiert Vorhaben des US-amerikanischen Zahlungsdienstleisters
- Cross-border cyberthreats require international solutions
- Grenzüberschreitende Cyberbedrohungen erfordern internationale Lösungen
- Medienkompetenz: Verbraucherzentrale und Landesdatenschutzbeauftragter Rheinland-Pfalz laden zum Online-Elternabend ein
Aktuelles, Branche, Studien - Mai 14, 2025 0:25 - noch keine Kommentare
Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden
weitere Beiträge in Branche
- LexisNexis® Risk Solutions Cybercrime Report 2025: Ruhe vor dem Sturm
- Domain-Hijacking: Wie Unternehmen ihre digitale Identität verlieren können
- Q-Day: Utimaco rät Unternehmen zur rechtzeitigen Vorbereitung auf quantengestützte Cyberangriffe
- Internationaler Anti-Ransomware-Tag: KnowBe4 prognostiziert agentenbasierte KI-Ransomware als neuen Angriffsvektor
- Neue Herausforderungen für die Cybersicherheit: KI und der menschliche Faktor
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren