IoT-Geräte über Uralt-SSH-Bug angreifbar

Martin Schindler,
(Bild: Shutterstock)

Die Sicherheit von mit dem Internet verbundenen Geräten und Sensoren wird von Herstellern und Anwendern sträflich vernachlässigt. Jetzt sorgt ein seit 2004 bekannter Fehler in OpenSSH für einen weiteren Angriffsvektor.

Zahllose mit dem Internet verbundenen Geräte sind angreifbar. Dafür sorgt aktuell eine Schwachstelle in OpenSSH, die seit 2004 bekannt ist. Mit Hilfe dieses Lecks können Angreifer mehr oder weniger unbehelligt anfällige Geräte für gerichtete Attacken einsetzen. Ein Beispiel sind die jüngsten SSHowDowN-Proxy-Angriffe, bei denen IoT-Geräte für DDoS-Attacken eingesetzt wurden.

Laut einer Untersuchung von Akamai Technologies sorgt die Anfälligkeit CVE-2004-1653 in Standard-Konfigurationen der zur Dateiübertragung per Secure Shell (SSH) benutzten Software OpenSSH für das Leck.

James Ullrich, Sicherheitsexperte bei SANS Institute warnt über Twitter vor Hackern, die unsichere Video-Rekorder angreifen. (Screenshot: silicon.de)
James Ullrich, Sicherheitsexperte bei SANS Institute warnt über Twitter vor Hackern, die unsichere Video-Rekorder angreifen. (Screenshot: silicon.de)

Trotz dem die Sicherheitslücke schon so lange bekannt ist, verzichten viele Hersteller von IoT-Geräten selbst auf banale Sicherheitsmaßnahmen. Umfangreiche SShowDowN-Proxy-Angriffe würden durch Millionen anfälliger Geräte wie Überwachungskameras, Router und externe Speicherprodukte ermöglicht, heißt es im Akamai-Bericht. Ohne voreingestellte Anmeldedaten hätten Angreifer Zugriff auf die Weboberfläche anfälliger Geräte, um SSH-Tunnel aufzubauen und Angriffe gegen “jedes Ziel im Internet und jede Art von Interdiensten wie HTTP und SMTP” zu starten.

Kleine Helfer für Hacker. Akamai analysiert die Architektur eines Angriffs über IoT. (Bild: Akamai)
Kleine Helfer für Hacker. Akamai analysiert die Architektur eines Angriffs über IoT. Ein zwölf Jahre alter Bug hilt den Kriminellen. (Bild: Akamai)

Dazu gehören auch DDoS-Angriffe. Ein Beispiel dafür ist der Distributed-Denial-of-Service-Angriff auf den Blog des Sicherheitsexperten Brian Krebs im vergangenen Monat. Auch SANS warnt inzwischen vor IoT-Botnets. Die dabei gemessene Bandbreite von 620 GBit pro Sekunde wurde unter anderem von zahllosen IoT-Geräten generiert.

Eric Kobrin, Director of Information Security bei Akamai, spricht deshalb auch vom ‘Internet of Unpatchable Things’. “Ab Werk werden neue Geräte nicht nur mit dieser Schwachstelle ausgeliefert, sondern auch ohne eine effektive Möglichkeit, sie zu schließen. Wir hören seit Jahren, dass es theoretisch möglich sei, IoT-Geräte anzugreifen. Das hat sich unglücklicherweise nun bewahrheitet.”

Nutzer von internetfähigen Geräten wie Heizungssteuerungen, Routern, Netzwerkspeichern oder Beleuchtungssystemen sollten schon bei der Inbetriebnahme ein voreingestelltes Passwort ändern. Zudem ist es ratsam, eine vorhandene Firewall so zu konfigurieren, dass sie SSH-Zugriffe von außen blockiert. Allerdings erlauben nicht alle Produkte die dafür benötigten Einstellungen.

Mehr zum Thema

IoT: Eine neue Standard-Welt entsteht

Im Bereich IoT gibt es zahlreiche Initiativen und Konsortien, bislang laufen diese Bestrebungen jedoch überwiegend parallel nebeneinander her. Doch damit dies alles überhaupt funktionieren kann, braucht man neben neuen Produkten auch neue Standards – insbesondere für die Kommunikation der Geräte untereinander und für die Sicherheit. silicon.de gibt einen Überblick.

zum Artikel »

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.