12 Jahre alter, nicht behebbarer Bug großes Risiko für Internet der Dinge

Internet of unpatchable Things

Als "Internet of unpatchable Things" hat Akamai Technologies  dieses Phänomen bezeichnet. Wie zdnet.de dazu berichtete soll die Schwachstelle bereits seit etwa zwölf Jahren bestehen und eine Vielzahl internetfähiger Geräte aller Art angreifbar machen. Im Bereich Internet der Dinge ist es nicht üblich Geräte zu patchen und somit können hier zielgerichtete Attacken eingesetzt werden. Als Beispiel dafür gelten die jüngsten SSHowDowN-Proxy-Angriffe, bei denen IoT-Geräte für DDoS-Attacken eingesetzt wurden.

Laut Akamai Technologies verbirgt sich der Auslöser in der Kennung CVE-2004-1653. Sie steckt in Standard-Konfigurationen der zur Dateiübertragung per Secure Shell (SSH) benutzten Software OpenSSH.

Anbieter verzichten auf Sicherheitsmaßnahmen

Wie die Forscher feststellten verzichten viele Anbieter von IoT-Geräten auf Sicherheitsmaßnahmen wie voreingestellte Anmeldenamen und Passwörter. Damit werden umfangreiche SShowDowN-Proxy-Angriffe durch Millionen anfälliger Geräte wie Überwachungskameras, Router und externe Speicherprodukte ermöglicht. Das heißt, dass ohne voreingestellte Anmeldedaten direkte Angriffe auf die Weboberfläche anfälliger Geräte möglich sind. Das bedeutet Angriffe auf

„jedes Ziel im Internet und jede Art von Interdiensten wie HTTP und SMTP“

zu starten.

Dazu sagt Eric Kobrin, Director of Information Security bei Akamai:

„Ab Werk werden neue Geräte nicht nur mit dieser Schwachstelle ausgeliefert, sondern auch ohne eine effektive Möglichkeit, sie zu schließen. Wir hören seit Jahren, dass es theoretisch möglich sei, IoT-Geräte anzugreifen. Das hat sich unglücklicherweise nun bewahrheitet.“

Er spricht im Zusammenhang mit den Sicherheitsdefiziten von IoT-Geräten vom:

„Internet of unpatchable Things“