Internet of unpatchable Things
Als "Internet of unpatchable Things" hat Akamai Technologies dieses Phänomen bezeichnet. Wie zdnet.de dazu berichtete soll die Schwachstelle bereits seit etwa zwölf Jahren bestehen und eine Vielzahl internetfähiger Geräte aller Art angreifbar machen. Im Bereich Internet der Dinge ist es nicht üblich Geräte zu patchen und somit können hier zielgerichtete Attacken eingesetzt werden. Als Beispiel dafür gelten die jüngsten SSHowDowN-Proxy-Angriffe, bei denen IoT-Geräte für DDoS-Attacken eingesetzt wurden.
Laut Akamai Technologies verbirgt sich der Auslöser in der Kennung CVE-2004-1653. Sie steckt in Standard-Konfigurationen der zur Dateiübertragung per Secure Shell (SSH) benutzten Software OpenSSH.
Anbieter verzichten auf Sicherheitsmaßnahmen
Wie die Forscher feststellten verzichten viele Anbieter von IoT-Geräten auf Sicherheitsmaßnahmen wie voreingestellte Anmeldenamen und Passwörter. Damit werden umfangreiche SShowDowN-Proxy-Angriffe durch Millionen anfälliger Geräte wie Überwachungskameras, Router und externe Speicherprodukte ermöglicht. Das heißt, dass ohne voreingestellte Anmeldedaten direkte Angriffe auf die Weboberfläche anfälliger Geräte möglich sind. Das bedeutet Angriffe auf
„jedes Ziel im Internet und jede Art von Interdiensten wie HTTP und SMTP“
zu starten.
Dazu sagt Eric Kobrin, Director of Information Security bei Akamai:
„Ab Werk werden neue Geräte nicht nur mit dieser Schwachstelle ausgeliefert, sondern auch ohne eine effektive Möglichkeit, sie zu schließen. Wir hören seit Jahren, dass es theoretisch möglich sei, IoT-Geräte anzugreifen. Das hat sich unglücklicherweise nun bewahrheitet.“
Er spricht im Zusammenhang mit den Sicherheitsdefiziten von IoT-Geräten vom:
„Internet of unpatchable Things“
Hinweis für Nutzer
Nutzer von internetfähigen Geräten wie Heizungssteuerungen, Routern, Netzwerkspeichern oder Beleuchtungssystemen sollten schon bei der Inbetriebnahme ein voreingestelltes Passwort ändern. Zudem ist es ratsam, eine vorhandene Firewall so zu konfigurieren, dass sie SSH-Zugriffe von außen blockiert. Allerdings erlauben nicht alle Produkte die dafür benötigten Einstellungen.