Mehr als 80 % von Unternehmen und Organisationen nutzen IoT oder OT Devices für geschäftskritische Anwendungen in Verwaltung und Produktion und nahezu 20 % davon haben bereits IoT/OT basierende Angriffe in den letzten drei Jahren entdeckt. Die Lage hat sich mittlerweile dramatisch verschärft. Die Sicherheitsforscher von Forescout haben aktuell 33 Sicherheitslücken in vier weit verbreiteten Open Source TCP/IP Stacks identifizieren können. Diese TCP/IP Stacks werden vor allem auch in der gesamten IoT, OT und IT-Infrastruktur verwendet. Auch in der Vergangenheit gab es bereits sicherheitsrelevante Probleme wie beispielsweise „Ripple20“ Angriffe. Allerdings betrifft AMNESIA:33 im Gegensatz zu Ripple20 eine Vielzahl von Open Source TCP/IP Stacks und ist damit ein weitaus größeres Problem.
Die Forscher von Forescout haben aktuell weit verbreitete TCP/IP Stacks auf sicherheitsrelevante Lücken untersucht und dabei 33 Zero-Day Schwachstellen in vier Open Source TCP/IP Stacks entdeckt. Die Ergebnisse hierzu wurden unter dem Namen AMNESIA:33 veröffentlicht. Die Sicherheitslücken betreffen eine Vielzahl von Endgeräten. Man geht davon aus, dass mehr als 150 Hersteller und Millionen von Endgeräten davon betroffen sind. Diese TCP/IP Open Source Stacks werden heutzutage nicht nur im Consumer Umfeld sondern auch in vielen kommerziellen Unternehmen eingesetzt.
Eine Vielzahl von Endgeräten ist davon betroffen u. a. :
- Netzwerk Switche und Router
- IoT Devices:
Umgebungssensoren, (z. B. Temperatur, Luftfeuchtigkeit), intelligente Beleuchtungssysteme, Lesegeräte, medizinische Geräte, IP Kameras zur Überwachung, Sensoren und Steuerungen in der Gebäudeautomatisierung, Steuerungen, Stromzähler - intelligente Drucker
- RFID Tracker
- Betriebssysteme für embedded devices
- Systems-On-a-Chip (SoC)
Aufgrund der weiten Verbreitung der aufgeführten Geräte stellt die aufgedeckte Sicherheitslücke weltweit ein großes Problem dar.
Risiken und Angriffsszenarien
Ein Angreifer, der die bekannten Sicherheitslücken nutzt, kann Kontrolle über das jeweilige IoT/OT Endgerät erlangen und z. B. darüber Zugang zum Unternehmensnetzwerk erhalten oder die kompromittierten IoT Geräte zu Fehlsteuerungen veranlassen und damit Chaos im gesamten Unternehmen verbreiten.
Im privaten Bereich kann ein Angreifer Zugriff auf ein IoT Device erlangen und dieses dann im Rahmen eines Botnets nutzen, ohne dass der Enduser darüber überhaupt Kenntniss erlangt.
Typische Angriffsszenarien im kommerziellen Umfeld sind u. a.:
- der Angreifer kann sich Zugang zu IoT/OT Endgeräten verschaffen und damit z. B. das Patientenmonitoring stören oder gar unterbrechen
- physikalische Zugangssysteme können ausgeschaltet werden und damit Personen in geschlossenen Abteilungen eingesperrt werden
- der Angreifer kann das Brandmeldesystem kompromittieren, dieses deaktivieren oder Fehlalarme auslösen
- der Angreifer nutzt ein IoT Endgerät, um damit massenhaft fehlerhafte TCP/IP Pakete in das Netzwerk zu senden, das dann zu großen Verzögerungen innerhalb des Unternehmensnetzwerkes führt, das den gesamten Betrieb lahmlegen kann.
- der Angreifer kompromittiert Netzwerkswitche und verursacht Unterbrechungen und Ausfälle in Teilen des Netzwerks
- der Angreifer verschafft sich Zugang zum Unternehmensnetzwerk und kann über Protokoll Gateways daran angeschlossene serielle Geräte in der Produktion (z. B. Transportbänder, Sensoren und Aktuatoren) kompromittieren, die teilweise oder die komplette Produktion stillegen oder falsche bzw. fehlerhafte Daten für die Qualitätssicherung injizieren
Best Practices um Risiken zu vermeiden
- Erfassung, Klassifizierung und Identifizierung aller IoT und OT Geräte im Unternehmen
- möglichst nur interne DNS Server einsetzen oder falls nicht möglich den externen DNS Verkehr monitoren, da
einige AMNESIA:33 Sicherheitslücken einen mit Schadsoftware infizierten externen DNS Server nutzen - IPv6 Datenverkehr deaktivieren, da einige der AMNESIA:33 Sicherheitslücken sich auf IPv6 Pakete beziehen
- da in der Regel die meisten IoT und OT Geräte NICHT gepatcht werden können, muss das Netzwerk zwingend segmentiert bzw. in Zonen aufgeteilt werden
- Patchen wenn möglich. Das ist leichter gesagt als getan, da viele Hersteller von IoT und OT Deviices keine Patches zur Verfügung stellen
- Überwachung und Monitoring des gesamten Netzwerkverkehrs auf fehlerhafte IP Pakete (falsche Feldlängen, Checksum Fehler). Fehlerhafter Netzwerkverkehr sollte nach Möglichkeit blockiert werden können (Segmentierung Firewall).
- alle IoT und OT devices im WLAN sollten möglichst nicht mit Pre-shared-Key Verfahren ausgerüstet sein. Besser ist der Einsatz von Private-Pre-Shared-Keys und eigenen spezifischen Netzwerk Policies, da der Einsatz einer RADIUS Authentifizierung scheitert, da in der Regel keine entsprechenden Zertifikate auf IoT bzw. OT Geräten implementiert werden können
Wir unterstützen Sie im Rahmen unserer Netzwerk Kompetenz und helfen Ihnen bei der Herausforderung das Unternehmensnetzwerk weitgehend gegen die Bedrohungen durch den Einsatz von IoT und OT Endgeräten abzusichern.