Die Experten des Kaspersky ICS CERT haben schwerwiegende Sicherheitslücken in Cinterion-Mobilfunkmodems entdeckt. Diese kommen in Millionen von Geräten zum Einsatz, unter anderem in den Branchen Industrie, Gesundheitswesen, Automobil, Finanzen und Telekommunikation, und sind für die weltweite Netzinfrastruktur von entscheidender Bedeutung.
Erhebliche Risiken durch diese Schwachstellen
Die gefundenen Schwachstellen ermöglichen die Remote-Ausführung von Code und die unbefugte Ausweitung von Berechtigungen, sodass sie erhebliche Risiken für integrierte Kommunikationsnetzwerke und IoT-Geräte darstellen.
Zu den riskantesten gefundenen Sicherheitslücken zählt CVE-2023-47610. Dabei handelt es sich um eine Heap-Overflow-Schwachstelle innerhalb des SUPL Message Handlers des Modems. Dadurch können Angreifer remote beliebigen Code per SMS ausführen und erhalten umfassenden Zugriff auf das Betriebssystem des Modems.
Dieser Zugriff erleichtert die Manipulation der RAM- und Flash-Speicher und erhöht das Potential, die vollständige Kontrolle über die Funktionen des Modems zu erlangen - ohne Authentifizierung oder physischen Zugriff auf das Gerät.
Bedrohung für die allgemeine Netzwerksicherheit
Im Zuge der Untersuchungen wurden weitere erhebliche Sicherheitslücken beim Umgang mit MIDlets, Java-basierten Anwendungen, die auf den Modems laufen, entdeckt. Dadurch kann die Integrität dieser Anwendungen kompromittiert werden, da Angreifer damit die Prüfung digitaler Signaturen umgehen und so unberechtigt Code mit erhöhten Rechten ausführen können.
Dies stellt nicht nur ein erhebliches Risiko für die Vertraulichkeit und Integrität der Daten dar, sondern erhöht auch die Bedrohung für die allgemeine Netzwerksicherheit und Geräteintegrität.
„Die von uns gefundenen Schwachstellen sowie der weit verbreitete Einsatz dieser Geräte in verschiedenen Branchen könnten weltweit zu weitreichenden Störungen führen - von wirtschaftlichen und betrieblichen Auswirkungen bis hin zu Sicherheitsproblemen“, fasst Evgeny Goncharov, Head of Kaspersky ICS CERT, zusammen.
Sicherheitsmaßnahmen entsprechen umsetzen
„Da solche Modems typischerweise in einer Matrjoschka-Form in andere Lösungen integriert sind und Produkte eines Anbieters auf denen weiterer aufbauen, ist die Zusammenstellung einer Liste der betroffenen Endprodukte eine Herausforderung. Betroffene Anbieter müssen umfangreiche Anstrengungen unternehmen, um den Risiken Herr zu werden, allerdings dürfte dies nur durch die Telekommunikationsbetreiber möglich sein.“
„Wir hoffen, dass unsere eingehende Analyse allen Stakeholdern dabei hilft, entsprechende Sicherheitsmaßnahmen umzusetzen und einen wertvollen Input für die zukünftige Cybersicherheitsforschung darstellt“, so Evgeny Goncharov.
Kaspersky hat Informationen zu den gefundenen Schwachstellen vorab mit dem Hersteller geteilt. Die Cinterion-Modems, die ursprünglich von Gemalto entwickelt wurden, sind Eckpfeiler der Machine-to-Machine- (M2M) und IoT-Kommunikation und unterstützen eine breite Palette von Anwendungen - von der industriellen Automatisierung und Fahrzeugtelematik bis hin zu Smart Metering und Gesundheitsüberwachung.
Gemalto, der ursprüngliche Entwickler, wurde später von Thales übernommen. Im Jahr 2023 übernahm Telit das Geschäft mit Mobilfunk-IoT-Produkten von Thales, einschließlich der Cinterion-Modems.
Kaspersky-Empfehlungen zum Schutz vor Angriffen:
Grundlegend, um der Bedrohung CVE-2023-47610 zu begegnen: Nicht unbedingt erforderliche SMS-Nachrichtenfunktionen umgehend deaktivieren und private APNs mit strengen Sicherheitseinstellungen nutzen.
Für die Zero-Days CVE-2023-47611 bis CVE-2023-47616: Eine strenge digitale Signaturüberprüfung für MIDlets durchsetzen, den physischen Zugriff auf Geräte kontrollieren und regelmäßige Sicherheitsüberprüfungen und -updates durchführen.
Das Sicherheitsteam sollte stets Zugriff auf aktuelle Bedrohungsdaten haben. Die Threat Intelligence von Kaspersky bietet Einblicke in aktuelle Bedrohungen und Angriffsvektoren sowie in die anfälligsten Elemente und deren Eindämmung.
Eine zuverlässige Endpunktschutzlösung wie Kaspersky Endpoint Security for Business implementieren, die Anomalien im Dateiverhalten erkennen und dateilose Malware-Aktivitäten aufdecken kann.
Sicher stellen, dass auch industrielle Endpoints umfassend geschützt sind. Dedizierte Lösungen wie Kaspersky Industrial CyberSecurity bieten Schutz für Endpoints sowie Funktionen zur Netzwerküberwachung, um verdächtige und potenziell schädliche Aktivitäten im industriellen Netzwerk aufzudecken.
Um Abweichungen im Herstellungsprozess aufzudecken, die durch einen Unfall, menschliches Versagen oder einen Cyberangriff verursacht wurden, und Störungen zu verhindern, kann Kaspersky Machine Learning for Anomaly Detection helfen.
Den Einsatz cyberimmuner Lösungen erwägen, um einen integrierten Schutz gegen Cyberangriffe aufzubauen.
Eine Sicherheitslösung wie Kaspersky Embedded Systems Security nutzen, die die Geräte vor verschiedenen Angriffsvektoren schützt.