IoT Sicherheitslücke in der Kalay-Cloud-Plattform! Über 83 Millionen Geräte betroffen?
von Svenja Koch
Ob im Business oder privat: IoT Cyberbedrohungen können immense Schäden verursachen
IP-Kameras, digitale Videorekorder oder digitale Babyphones machen uns den Alltag auf jeden Fall komfortabler. IoT Geräte aller Art sind mittlerweile millionenfach in Haushalten weltweit im Einsatz – und stehen jetzt unter Beschuss! Denn eine kürzlich aufgedeckte IoT Sicherheitslücke ermöglicht Cyberangriffe auf die vernetzten Geräte, bei denen die Angreifer über das Internet die Kontrolle über die vernetzten, smarten Geräte übernehmen können. Die Sicherheitslücke mit der Bezeichnung CVE-2021-28372 ist mit dem Bedrohungsgrad „kritisch“ klassifiziert und nicht „mal eben“ mit Patches zu beheben. Wir klären auf, was die IoT Sicherheitslücke für Auswirkungen haben kann, was genau die Schwachstelle Kalay ausmacht und wie Sie IoT Cyberbedrohungen am besten begegnen können.
IoT Sicherheitslücke in der Kalay-Cloud-Plattform
Die IoT Sicherheitslücke CVE-2021-28372 wurde von Sicherheitsforschern von Mandiant in einer Software-Kernkomponente des taiwanesischen Unternehmens Throughtek aufgedeckt. Die Komponente ist Teil der Kalay-Cloud-Plattform, die von Herstellern weltweit bei der Herstellung von smarten Kameras, Babyphones oder digitalen Videorekordern eingesetzt wird. Die Schwachstelle bei Kalay befindet sich im P2P-SDK von Throughtek – einer durchaus praktischen Funktion, die einem Client den Zugriff auf Audio-und Videostreams einer Kamera über das Internet erlaubt. Das große Problem der Schwachstelle bei Kalay: Es existiert zwar eine abgesicherte SDK-Version – da das SDK aber von zahlreichen Herstellern für unzählige smarte Geräte eingesetzt wird, gestaltet sich das Patchen überaus schwierig.
Wie viele Geräte sind von der IoT Sicherheitslücke betroffen?
In Ihrem Bericht schreiben die Sicherheitsforscher von Mandiant, dass das Throughtek SDK auf 83 Millionen IoT Geräten verwendet wird – und monatlich weit über eine Milliarde Verbindungen zum Kalay-Netzwerk durchgeführt werden. Allerdings ist aktuell noch völlig unklar, wie viele der IoT Geräte betroffen und somit Cyberangriffen ausgesetzt sind.
Wie funktionieren Cyberangriffe über die Schwachstelle bei Kalay?
Die gute Nachricht zuerst: Ganz einfach wird Cyberkriminellen der Angriff über die Schwachstelle bei Kalay nicht gemacht. Zum einen benötigen die Cyberangreifer fundierte Kenntnisse über das Kalay-Protokoll – und zum anderen benötigen sie die Unternehmens-Identifikationsnummer (UID) der IoT Geräte. Der „gängige“ Weg, mittels Brute-Force-Cyberattacken an die UIDs zu gelangen, ist offenbar nicht möglich. Daher benötigen die Cyberkriminellen andere Wege, um an die UIDs zu kommen – Social Engineering ist gemäß den Sicherheitsexperten von Mandiant einer der erfolgversprechendsten Wege.
Sobald der Cyberangreifer jedoch die UID in seinen Besitz gebracht hat, kann er das im Kalay-Netzwerk registrierte IoT Gerät quasi übernehmen. In der Folge werden alle von dem kompromittierten Gerät gesendeten Daten an den Angreifer übertragen. Diese Daten können nicht nur Einblicke in die Intimsphäre der Betroffenen darstellen, sondern auch Mitschnitte von Log-In-Vorgängen. Liegen dem Cyberangreifer diese Log-In-Daten einmal vor, ist die vollständige Übernahme weiterer IoT Geräte nur noch eine Frage der Zeit – und der Motivation des Angreifers.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Was passiert, wenn meine IoT Geräte durch Cyberangriffe übernommen werden?
Cyberangriffe auf smarte Geräte können zu unterschiedlichsten Problematiken führen. Cyberkriminelle können sich nach Lust und Laune mit einem IoT Gerät verbinden, Audio- und Videostreams abrufen, Kameras fernsteuern oder das Gerät neu starten. Die Endanwender der IoT Geräte ahnen von den Angriffen nichts – bis aufgezeichnete Videodaten für Erpressungsversuche verwendet werden, das Konto leergeräumt oder einem Einbrecher per Knopfdruck die smarte Eingangstüre geöffnet wird. Dabei muss nicht erst der Worst Case eintreffen – es reicht schon das ungute Gefühl, dass man von Fremden in der eigenen Wohnung ausspioniert wird.
Kann ich gegen die Schwachstelle bei Kalay einen Virenscanner einsetzen?
Virenscanner sind in der Regel sinnvolle, grundlegende IT Security Tools, allerdings sind sie bei dieser IoT Sicherheitslücke vollkommen machtlos. Helfen können hier alleine Patches – und der Einsatz der Hersteller, die Kalay für ihre IoT Geräte verwenden.
Die Hersteller stehen unter Zugzwang
Throughtek hat nach Bekanntwerden der Sicherheitslücke umgehend reagiert und mit den SDKs 3.3.1.0 und 3.4.2.0 zwei Versionen für Iot Geräte bereitgestellt, die die Schwachstelle bei Kalay patchen. Außerdem lässt sich die IoT Sicherheitslücke durch zwei optionale Funktionen von Kalay, dem verschlüsselten Kommunikationsprotokoll DTLS und dem API-Authentifizierungsmechanismus Authkey, schließen. Die Hersteller sind hier also gefordert, um die Sicherheitslücke auch bei bereits ausgelieferten IoT Geräten nachhaltig zu schließen.
Was kann ich tun, um meine IoT Geräte vor der Schwachstelle in Kalay zu schützen?
Leider gibt es bis dato noch keine Liste, die alle betroffenen Geräte aufführt. Daher ist es für Endanwender schwer bis unmöglich, einen möglichen Cyberangriff durch eine vorhandene Schwachstelle im Gerät vorherzusagen. Wenn immer möglich, sollten aktuelle Software-Updates installiert werden.
Ob Business oder privat: IoT Cyberbedrohungen können immense Schäden verursachen
Cyberangriffe sind so alt wie das Internet. IoT Cyberbedrohungen hingegen sind ein recht junges Phänomen – entsprechend unbedarft werden IoT Geräte verwendet. Das smarte, vernetzte Babyphone ist dabei nur eines der unzähligen IoT Geräte, die mittlerweile weltweit im Einsatz sind. Alexa und Siri, Überwachungskameras am Hauseingang, digitale Heizungssteuerungen und Videotelefonie: Mittlerweile haben IoT Geräte unseren Alltag erobert. Dass jedes einzelne der eingesetzten Geräte eine eigene IoT Sicherheitslücke darstellen kann, geht im praktischen Alltag leicht unter.
Dabei sind die möglichen Schäden, die durch Cyberangriffe auf vernetzte Geräte entstehen können, durchaus gefährlich:
- Firmeninternas können belauscht werden, wenn Videosysteme in Meeting-Räumen übernommen werden
- Kontodaten können abgegriffen werden
- Videoüberwachungssysteme können private und businessbezogene Details in falsche Hände gelangen lassen.
- Kompromittierte Babyphones werden zu Wanzen, die mühelos jedes Gespräch abhören können.
Insbesondere der Verlust der Privatsphäre kann für die Betroffenen einen psychischen Schock darstellen. Das eigene Leben unter Beobachtung völlig fremder Personen – Big Brother lässt grüßen. Ganz zu schweigen von der existenzbedrohenden Situation, wenn heikle Informationen, sei es beruflich oder privat, für Erpressungsversuche missbraucht werden.
Kann ich meine IoT Geräte denn überhaupt vor Cyberangriffen schützen?
Unabhängig davon, ob die verwendeten, smarten Geräte von der Schwachstelle in Kalay oder einem anderen Sicherheitsrisiko betroffen sind: Jeder kann durch bewusstes Handeln seine eigene IT Security sein! Der wohl grundlegendste Schutz – und gleichzeitig die Maßnahme, die am häufigsten vergessen wird – ist das regelmäßige Updaten aller smarten Geräte. Viele IoT Cyberbedrohungen lassen sich durch herstellerseitige Sicherheitspatches und Updates verhindern. Dies wissen auch die Hersteller, und bieten in der Regel die Funktion automatischer Updates.
Ein anderer Punkt ist die Erreichbarkeit der Geräte über das Internet. Hier sollte, wann immer es möglich ist, der Zugang zum Internet unterbunden werden. Dies minimiert zwar das Risiko nicht völlig – allerdings wird die Zeit, die Cyberangreifern für eine Übernahme des Gerätes bleibt, deutlich verringert. Viele Geräte verlieren allerdings Ihren Nutzen, wenn sie nicht durchgängig mit dem Internet in Verbindung stehen. In diesem Fall sollten starke Passwörter eingesetzt werden – oder verschlüsselte VPN-Verbindungen zum Einsatz kommen, die nur vordefinierte Nutzer einen Zugriff erlauben. Auch Firewalls stellen einen grundlegenden Schutz dar. Und nicht zuletzt ist da der Sicherheitsfaktor Mensch.
Bei den aktuellen IoT Cyberbedrohungen durch die Schwachstelle in Kalay spielt Social Engineering eine große Rolle. Daher sollte zur persönlichen IT Security immer der Grundsatz gehören, niemals persönliche Daten an Unbekannte auszuhändigen. Und sei es auch nur die UID des Babyphones, die der freundliche „Servicemitarbeiter“ am Telefon unbedingt in Erfahrung bringen möchte.
Quellen:
https://www.forescout.com/resources/amnesia33-how-tcp-ip-stacks-breed-critical-vulnerabilities-in-iot-ot-and-it-devices/
https://www.fireeye.com/blog/threat-research/2021/08/mandiant-discloses-critical-vulnerability-affecting-iot-devices.html
Fazit
Hätten wir vor 30 oder auch 20 Jahren vor Cyberangriffen auf Videokameras oder Babyphones gewarnt, wäre die Warnung vermutlich als nette Science-Fiction ohne Substanz abgetan worden. 2021 jedoch sind smarte, vernetzte und über das Internet verbundene Geräte in vielen Privathaushalten und Unternehmen auf der ganzen Welt ganz normaler Alltag. Leider schlafen auch Cyberkriminelle nicht – und nutzen IoT Sicherheitslücken für Cyberangriffe aller Art. Die jetzt entdeckte Schwachstelle in Kalay macht rund 83 Millionen smarte Geräte zu potenziellen Überwachungsmaschinen. Während Sie Ihr Kind zu Bett bringen und Ihrem Partner oder der Partnerin anschließend von der neuen, sündhaft teuren Uhr erzählen, die endlich bei Ihnen eingetroffen ist, hören Cyberkriminelle zu. Und freuen sich über die vielen detailreichen Informationen, die aus Ihrem Privatleben nach außen gelangen. Im besten Fall bedeutet das nur einen Verlust an Privatsphäre und verletzte Persönlichkeitsrechte. Allerdings sind die wenigsten Cyberkriminellen als Stalker unterwegs und an Anekdoten aus Ihrem Leben interessiert. Vielmehr geht es um Kontodaten, Betriebsgeheimnisse – oder eben die teure Uhr, die eventuell in einer der kommenden Nächte durch ungebetene Besucher einer spontanen Eigentumsübertragung unterzogen wird.
Die beste IT Security im Umgang mit IoT Cyberbedrohungen ist der bewusste, sorgsame Umgang mit digitalen, vernetzten Geräten. Wenn immer es möglich ist, sollten vernetzte Geräte vom Internet getrennt werden. Und wenn dies nicht möglich ist, sollten zumindest eine Firewall und starke Passwörter für einen grundlegenden Schutz eingerichtet werden. Und natürlich sind die Hersteller der Produkte in der Pflicht, durch regelmäßige Updates und Patches für bekannte IoT Sicherheitslücken für ein Mindestmaß an Cybersicherheit im Internet der Dinge zu sorgen.