BadAlloc: Kritische Bugs in IoT-Geräten und in OT-Systemen gefunden

Publiziert am 4. Mai 2021 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher von Microsoft habe sich Internet of Things (IoT) Software, die in entsprechenden Geräten eingesetzt wird, und Operational Technology-Industriesysteme (OT) genauer angesehen. Dabei sind sie auf über zwei Dutzend kritische Remote-Code-Execution-Schwachstellen gestoßen. Die Folgen betreffen alles, von IoT-Geräten über medizinische Geräte bis hin zu Industriesystemen.

Anzeige

Ich bin die Tage über den nachfolgenden Tweet der Kollegen von Bleeping Computer auf den Sachverhalt gestoßen, wurde aber auch bereits von Sicherheitsforschern anderer Firmen darauf hingewiesen.

Hier in kompakt: Microsofts Azure Defender for IoT-Sicherheitsforschungsgruppe, auch als Sektion 52 bekannt, hat kürzlich eine Reihe kritischer Schwachstellen bei der Speicherzuweisung in IoT- und OT-Geräten in diesem Artikel aufgedeckt. Diese, unter dem Begriff BadAlloc zusammengefassten Schwachstellen, lassen sich durch Angreifer ausnutzen, um Sicherheitskontrollen zu umgehen, um bösartigen Code auszuführen oder einen Systemabsturz zu verursachen.

Microsoft hat für diese RCE-Schwachstellen (Remote Code Execution) mehr als 25 CVEs vergeben lassen. Die Sicherheitsforscher schreiben, dass die Schwachstellen potenziell eine Vielzahl von Bereichen, von Consumer und Medical IoT bis hin zu Industrial IoT, Operational Technology (OT) und industriellen Steuerungssystemen betreffen. Passend habe ich heute gerade eine Pressemitteilung über Cumulocity IoT für die Schädlingssuche in Containern, Silos etc. mittels traptice® auf den Tisch bekommen. Ob deren Software von BadAlloc betroffen ist, konnte ich nicht herausfinden. Aber da bekommt die Suche nach Bugs doch gleich eine doppelte Bedeutung.

Die von Microsoft gefundenen Schwachstellen bestehen in Standard-Speicherzuweisungsfunktionen, die weit verbreitete Echtzeit-Betriebssysteme (RTOS), Embedded Software Development Kits (SDKs) und Implementierungen der C-Standardbibliothek (libc) umfassen. Diese Erkenntnisse wurden durch verantwortungsvolle Offenlegung unter der Leitung des Microsoft Security Response Center (MSRC) und des Department of Homeland Security (DHS) an Hersteller weitergegeben, damit diese die Schwachstellen untersuchen und patchen können. Auf der Website des DHS ICSA-21-119-04 Multiple RTOS werden die Produkte aus nachfolgender Liste als betroffen geführt.

  • Amazon FreeRTOS, Version 10.4.1
  • Apache Nuttx OS, Version 9.1.0
  • ARM CMSIS-RTOS2, versions prior to 2.1.3
  • ARM Mbed OS, Version 6.3.0
  • ARM mbed-uallaoc, Version 1.3.0
  • Cesanta Software Mongoose OS, v2.17.0
  • eCosCentric eCosPro RTOS, Versions 2.0.1 through 4.5.3
  • Google Cloud IoT Device SDK, Version 1.0.2
  • Linux Zephyr RTOS, versions prior to 2.4.0
  • Media Tek LinkIt SDK, versions prior to 4.6.1
  • Micrium OS, Versions 5.10.1 and prior
  • Micrium uCOS II/uCOS III Versions 1.39.0 and prior
  • NXP MCUXpresso SDK, versions prior to 2.8.2
  • NXP MQX, Versions 5.1 and prior
  • Redhat newlib, versions prior to 4.0.0
  • RIOT OS, Version 2020.01.1
  • Samsung Tizen RT RTOS, versions prior 3.0.GBB
  • TencentOS-tiny, Version 3.1.0
  • Texas Instruments CC32XX, versions prior to 4.40.00.07
  • Texas Instruments SimpleLink MSP432E4XX
  • Texas Instruments SimpleLink-CC13XX, versions prior to 4.40.00
  • Texas Instruments SimpleLink-CC26XX, versions prior to 4.40.00
  • Texas Instruments SimpleLink-CC32XX, versions prior to 4.10.03
  • Uclibc-NG, versions prior to 1.0.36

Das Dokument listet auch die CVEs sowie verfügbare Updates der Hersteller auf. Details zu den Erkenntnissen Microsofts lassen sich im oben verlinkten Beitrag nachlesen. Von Marty Edwards, Vice President of OT Security bei Tenable habe ich Ende April 2021 in diesem Zusammenhang eine kurze Stellungnahme erhalten, die ich hier mal einstelle.

Sicherheitslücken wie die BadAlloc-Schwachstellen unterstreichen die Notwendigkeit für kritische Infrastrukturen und Fertigungsunternehmen, einen kontinuierlichen Einblick in die Geräte, die in ihren Produktionsumgebungen verwendet werden, zu haben. Es reicht nicht mehr aus, das Risiko in regelmäßigen Abständen manuell zu bewerten. Wenn der CISO kommt und fragt, ob das Unternehmen diesen neuesten Schwachstellen ausgesetzt ist, sollten die Antwort sofort parat sein. Diese Frage nicht beantworten zu können, gibt Angreifern die Oberhand.

Da sich diese Schwachstellen in den Echtzeit-Betriebssystemen befinden, die die Grundlage vieler OT- und IoT-Geräte bilden, weiß der Endanwender vielleicht gar nicht, dass er auf diese Produkte zurückgreift. Es bleibt zu hoffen, dass die OT-OEM-Anbietergemeinschaft diese Schwachstellen bewertet und feststellt, ob sie ein Risiko in ihren Produkten darstellen. Wir raten Besitzern von OT-Geräten immer dazu, mit ihren Herstellern zusammenzuarbeiten, um Schwachstellen in kritischen Geräten angemessen zu entschärfen. Dieser Fall ist nicht anders.

Tenable weist in diesem Zusammenhang auf neue Erkenntnisse über den Commodity Cryptocurrency Stealer „WeSteal" und das Commodity RAT „WeControl" hin, den Forscher von Palo Alto Networks gewinnen konnten:

 

Unit 42, das Forschungsteam von Palo Alto Networks, gibt zudem Erkenntnisse über den Commodity Cryptocurrency Stealer „WeSteal" bekannt. Die IT-Sicherheitsforscher gehen auf die Verschleierung und die Techniken ein, die WeSteal für die Persistenz und den Betrieb verwendet, und untersucht, wer die Nutzer dieser Malware sind. Unit 42 wirft auch einen Blick auf WeSupply, dessen Website den gleichen Namen trägt, und auf den italienischen Malware-Codierer ComplexCodes, den eigentlichen Autor dieser Malware.

Unmittelbar vor der Veröffentlichung dieses Berichts entdeckten die Forscher, dass die Akteure sowohl einige neue Funktionen zu WeSteal ergänzt als auch ein neues Commodity-Remote-Access-Tool (RAT) namens WeControl hinzugefügt hatten. WeControl ist in ähnlicher Weise als Tool für illegale Aktivitäten konzipiert und wird entsprechend vermarktet.

Es scheint, dass für jeden Takedown und jede strafrechtliche Verfolgung von Commodity-Malware eine andere an deren Stelle tritt. Oft versuchen die Autoren von Commodity-Malware auf perfide Weise, ihrer Malware einen Anschein von Legitimität zu verleihen, eine Strategie, die vor Gericht oft keinen Bestand hat. Der Autor von WeSteal, einem neuen Commodity Cryptocurrency Stealer, unternimmt keinen Versuch, die Absicht für seine Malware zu verschleiern. Der Anbieter verspricht „den führenden Weg zum Geldverdienen im Jahr 2021".

WeSteal ist eine Commodity-Malware mit einer einzigen, illegalen Funktion für den effektiven Diebstahl von Kryptowährungen. Die wenig anspruchsvollen Akteure, die diese Malware kaufen und einsetzen, sind nichts weniger als Taschendiebe auf der Straße und ihre Verbrechen sind so real wie ihre Opfer. Die schnelle und einfache Monetarisierungskette und die Anonymität des Kryptowährungsdiebstahls, zusammen mit den geringen Kosten und der einfachen Bedienung, machen diese Art von Crimeware zweifellos attraktiv und beliebt bei weniger qualifizierten Cyberkriminellen. Die Forensignatur des Akteurs deutet auf eine Zugehörigkeit zu einer Website hin, die Konten für Dienste wie Netflix und Disney+ verkauft. Die Absicht wird erneut mit dem Discord-basierten Commodity Distributed Denial-of-Service (DDoS)-Angebot von ComplexCode, „Site Killah", deutlich.

Die leichte Erkennbarkeit und Blockierung der Command-and-Control-Kommunikation arbeitet gegen den italienischen Malware-Autor ComplexCodes. Es ist überraschend, dass die Kunden ihre „Opfer" der potenziellen Kontrolle des Malware-Autors anvertrauen. ComplexCodes könnte sie zweifelsohne seinerseits jederzeit usurpieren und die Bots der Opfer stehlen oder die Wallets der Kunden durch eine seiner eigenen ersetzen. Es ist auch verwunderlich, dass der Malware-Autor eine strafrechtliche Verfolgung für einen sicherlich geringen Gewinn riskieren würde, wenn man bedenkt, wie klein der Kundenstamm ist.

Unternehmen mit effektiver Spam-Filterung, ordnungsgemäßer Systemadministration und aktuellen Windows-Hosts haben ein deutlich geringeres Infektionsrisiko. Kunden von Palo Alto Networks sind durch Cortex XDR oder die Next-Generation-Firewall mit WildFire und Threat Prevention-Sicherheitsabonnements zusätzlich vor WeSteal und WeControl geschützt. AutoFocus-Benutzer können WeSteal- und WeControl-Aktivitäten mithilfe der WeSteal- und WeControl-Tags verfolgen.

Palo Alto Networks hat seine Erkenntnisse, einschließlich Dateimustern und Indikatoren für eine Kompromittierung, mit den anderen Mitgliedern der Cyber Threat Alliance geteilt. CTA-Mitglieder nutzen diese Erkenntnisse, um ihren Kunden schnell Schutzmaßnahmen bereitzustellen und böswillige Cyberakteure systematisch zu stören. Weitere Informationen über die Cyber Threat Alliance finden Sie hier.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu BadAlloc: Kritische Bugs in IoT-Geräten und in OT-Systemen gefunden

  1. Alfred Neumann sagt:
    4. Mai 2021 um 18:53 Uhr

    Eine Schande, wie fahrlässig noch immer mit der Sicherheit umgegangen wird.
    Aber wehe das "Kind ist in den Brunnen gefallen" dann wird wieder gerufen…..

    Antworten

Schreibe einen Kommentar zu Alfred Neumann Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.