Sicherheitslücke in IoT-Kommunikationsmodul: Mehrere Millionen Geräte betroffen

Sicherheitsforscher haben eine Sicherheitslücke entdeckt, die ein kleines, von Thales hergestelltes Modul namens Cinterion EHS8 M2M betrifft. Dies ist insofern von Bedeutung, weil eben dieses Modul in den letzten zehn Jahren in Millionen von IoT-Geräten verbaut wurde.

Das Internet der Dinge umfasst weit mehr also nur intelligente Kühlschränke, Router und die vielen anderen Geräte, die heute unseren Alltag bestimmen. Die weitaus meisten IoT-Produkte finden sich in so genannten Industrial Control Systems (ICS), also industriellen Steuerungssystemen, wo sie zur Steuerung von physischen Prozessen eingesetzt werden. Gibt es hier Sicherheitslücken, geraten auch kritische Infrastrukturen in Gefahr, weshalb entsprechende Patches so schnell wie möglich eingespielt werden müssen.

Das X-Force Red-Team von IBM entdeckte eine Schwachstelle im Cinterion EHS8 M2M-Modul und stellte bald darauf fest, dass dasselbe Sicherheitsproblem auch weitere ähnliche Produkte, EHS8 (BGS5, EHS5/6/8, PDS5/6/8, ELS61, ELS81, PLS62), betrifft. Diese Module dienen der mobilen Kommunikation in IoT-Geräten.

„In den Modulen wird Java-Code gespeichert und ausgeführt, der oft vertrauliche Informationen wie Passwörter, Verschlüsselungsschlüssel und Zertifikate enthält“, so die Sicherheitsforscher. Weiterhin warnen sie davor, dass böswillige Akteure mit aus den Modulen abgeschöpften Informationen Geräte kontrollieren oder Zugang zu zentralen Steuerungsnetzwerken erlangen könnten, um weitreichende Angriffe durchzuführen – in einigen Fällen sogar per Fernzugriff über 3G.

So könnten Angreifer intelligente Zähler bauen, um die Stromversorgung einer Stadt lahmzulegen oder Medikamten überdosiert verabreichen. Die meisten betroffenen Geräte sind im medizinischen Bereich sowie im Energie- und Versorgungssektor zu finden. Thales hat im Februar 2020 ein Patch für die betroffenen Module herausgegeben.

X-Force Red hat die Schwachstelle erstmals bei seinem virtuellen Event Red Con 2020 öffentlich gemacht. Auf viele Jahre hinaus begleiten wird uns jedoch das Problem ungepatcher IoT-Geräte, die es angesichts der schieren Anzahl an betroffenen Infrastrukturen unvermeidlich geben wird. Es ist schlicht unmöglich, jedes einzelne davon zu patchen. Jetzt, da die Sicherheitslücke bekannt ist, werden sich Angreifer auf die Suche nach ungepatchten Modulen machen.