Trend Micro warnt Unternehmen vor möglichen Sicherheitslücken in ihrer Betriebstechnik (Operational Technology, OT). Forscher des japanischen IT-Sicherheitsanbieters entdeckten vor Kurzem massive Schwachstellen und gefährdete Anwendungen von zwei weit verbreiteten Protokollen für die Machine-to-Machine-Kommunikation (M2M). Betroffen sind die Protokolle Message Queuing Telemetry Transport (MQTT) und Constrained Application Protocol (CoAP). Die Sicherheitslücken sind im Forschungsbericht „The Fragility of Industrial IoT’s Data Backbone“ beschrieben, der in Zusammenarbeit mit der Polytechnischen Universität Mailand entstand. Darin weisen die Forscher auch auf die wachsende Bedrohung durch den Missbrauch dieser Protokolle zur Industriespionage, zu Denial-of-Service-Attacken und für zielgerichtete Angriffe hin.

Innerhalb eines Zeitraums von nur vier Monaten identifizierten die Trend-Micro-Forscher nach eigenen Angaben über 200 Millionen MQTT-Nachrichten und mehr als 19 Millionen CoAP-Nachrichten, die an erreichbaren Brokern und Servern mitgelesen wurden. Mithilfe einfacher Schlagwortsuchen könnten Angreifer diese geleakten Produktionsdaten identifizieren und wertvolle Informationen zu Anlagen, Mitarbeitern und Technik gewinnen, die sich für zielgerichtete Angriffe nutzen lassen.

„Die Sicherheitsprobleme, die wir in zwei der meistverbreiteten Nachrichtenprotokolle für IoT-Geräte entdeckt haben, sollten Unternehmen veranlassen, einen ernsthaften und ganzheitlichen Blick auf die Sicherheit ihrer OT-Umgebungen zu werfen“, sagt Udo Schneider, Security Evangelist bei Trend Micro. „Diese Protokolle entstanden ohne Berücksichtigung von Sicherheitsaspekten, finden sich jedoch zunehmend in sicherheitskritischen Umgebungen und Anwendungen. Dies stellt ein bedeutendes Cyber-Risiko dar, da selbst Hacker mit geringen Ressourcen diese Entwicklungsfehler und Schwachstellen ausnutzen können. Diese ermöglichen es ihnen, Systeme auszukundschaften, sich lateral innerhalb des Netzwerks zu bewegen, verdeckt Daten zu stehlen und Denial-of-Service-Angriffe durchzuführen.“

Der Forschungsbericht zeigt, wie Angreifer IoT-Systeme aus der Ferne kontrollieren oder lahmlegen könnten, indem sie M2M-Schwachstellen ausnutzen, die bei der Entwicklung, Implementierung oder Bereitstellung von Geräten, die die betroffenen Protokolle nutzen, entstanden sind. Durch den Missbrauch spezifischer Funktionen in den Protokollen könnten Hacker zudem dauerhaften Zugang zu einem System erhalten und sich innerhalb des Netzwerks bewegen.

Im Rahmen der Forschung kamen Sicherheitslücken durch Trend Micros Zero Day Initiative (ZDI) ans Licht: CVE-2017-7653, CVE-2018-11615 und CVE-2018-17614. Beispielsweise könnte ein Angreifer unter Ausnutzung der Schwachstelle CVE-2018-17614 durch einen sogenannten „Out-of-Bounds-Write“ beliebigen Code auf einem Gerät ausführen, auf dem ein MQTT-Client läuft. Zwar wurden keine neuen Schwachstellen in CoAP entdeckt – die Forschungsergebnisse bekräftigen jedoch, dass CoAP anfällig für Denial-of-Service-Angriffe ist, da es auf dem User Datagram Protocol basiert und dem Request/Response-Schema folgt.

Um die gefundenen Risiken zu mindern, empfiehlt Trend Micro eine Reihe von Maßnahmen:

  • Nicht benötigte M2M-Dienste durch die Implementierung geeigneter Policies abschalten,
  • mittels regelmäßiger, Internet-weiter Scans sicherstellen, dass keine vertraulichen Daten durch öffentliche IoT-Dienste geleakt werden,
  • Implementierung eines Workflows zum Schwachstellen-Management oder anderer Maßnahmen zur Absicherung der Lieferkette sowie
  • regelmäßige Aktualisierung der eigenen Systeme entsprechend aktueller Branchenstandards angesichts des stetigen technologischen Fortschritts.

Den vollständigen Report in englischer Sprache finden Interessierte unter www.trendmicro.com/vinfo/us/security/news/internet-of-things/mqtt-and-coap-security-and-privacy-issues-in-iot-and-iiot-communication-protocols. Aktuelles zu Bedrohungen gibt es im Blog unter blog.trendmicro.de.

Dr. Jörg Schröper ist Chefredakteur der LANline.