Haikiki veröffentlicht mit Project Havoc jede Woche Exploits für IoT-Geräte

Die Situation in Deutschland ist ernst: immer mehr IoT-Geräte fallen massiven Hacker-Attacken zum Opfer mit Auswirkungen, die auch immer öfter auf Kosten von Menschenleben gehen, wie der Angriff auf die Düsseldorfer Universitätsklinik vor kurzem wieder gezeigt hat.

Veröffentlicht: 31. Oktober 2020

Inhalt

Haikiki veröffentlicht mit Project Havoc jede Woche Exploits für IoT-Geräte

Hier stellen sich einige die Frage, an welcher Stelle das Versagen bei dieser Form der Angriffe liegt. Und für Jean Pereira ist die Situation klar:

"Das Versagen liegt ganz klar in der mangelnden Kompetenz der Hersteller was das Thema IT-Sicherheit angeht. Es werden Geräte auf den Markt gebracht, die entweder gar nicht erst auf IT-Sicherheit getestet wurden (aka: unsere Programmierer machen das schon), oder von einem Unternehmen getestet wurden, was selber nicht über die ausreichende Kompetenz verfügt und beispielsweise keine relevanten CVE-Referenzen nachweisen kann."

Wie kann man diese Art von digitalen Katastrophen verhindern? Für Pereira ist klar: Aufklärungsarbeit. Und deswegen wird Haikiki mit dem "Project Havoc" ab sofort jede Woche eine neue IoT-Sicherheitslücke veröffentlichen und dokumentieren, insbesondere bei deutschen Herstellern.

Bei den Sicherheitslücken handelt es sich um sogenannte "Zero-Day-Exploits", das bedeutet, dass die Sicherheitslücken dem Hersteller noch nicht bekannt und damit als äußerst gefährlich einzustufen sind.

Betroffen sind hier Geräte wie beispielsweise Kameras, die sich fernsteuern und deaktivieren lassen, RFID-Türen die sich verriegeln lassen, Mischer bei denen sich giftige Chemikalien wie Quecksilber freisetzen lassen sowie Schmutzpumpen, Thermostate und Gas-Pipelines die zur Detonation gebracht werden können.

Das Project Havoc beginnt ab November 2020.

Spannungsmessgerät ZEB VM7-TS

Zero-Day-Exploit in Spannungsmessgerät "ZEB VM7-TS" (alle Geräte betroffen) erlaubt Vollzugriff und Fernsteuerung sowie Modifikation der Alarme und Zugriff auf alle Protokolldateien. Der Hersteller wurde informiert und der Exploit wird in kürze veröffentlicht (Stand: 6. November 2020).

Betroffen sind laut Aussage des Herstellers (Zünderwerke Ernst Brün GmbH) auch die folgenden Unternehmen und Institutionen:

HeidelbergCement

Max Bögl Gruppe

Heidelberger Kalksandstein

Solvay Chemicals

Bundesinstitut für Risikobewertung

Thüringer Landesbergamt

Dyckerhoff

Landesregierung Österreich

Der Hersteller wurde informiert. (Stand: 13. November 2020)

IoT-Telefonanlage innovaphone

Die IoT-Telefonanlage des Herstellers "innovaphone AG" ist anfällig für mehrere hochkritische Sicherheitslücken. Die aktuellste Version ist betroffen und schätzungsweise alle anderen Versionen auch. Bei den Schwachstellen handelt es sich um mehrere Zero-Day-Exploits, unter anderem eine Remote-Code-Execution (RCE) welche administrativen Vollzugriff auf die Telefonanlage und die unterliegende Gerätestruktur ermöglicht.

Die Schwachstellen wurden im Rahmen eines Penetrationstests auf die Infrastruktur eines Kunden identifiziert und der Hersteller wurde heute über die Sicherheitslücken informiert. (Stand: 13. November 2020)

IoT-Automatisierungssteuerung

Das Unternehmen "Technische Alternative RT GmbH" (auch: "Technische Alternative Elektronische Steuerungsgerätegesellschaft") hat eine universelle Steuerung für IoT-Komponenten entwickelt und beschreibt diese so: "Universelle Regler für Heizungen und Lüftungsanlagen, zur Kühlung und Klimatisierung von Gebäuden und zur Steuerung der gesamten Gebäudetechnik.".

Betroffen sind hier u.A. Gasregler. Der Angreifer kann sich durch den Zero-Day-Exploit administrativen Zugriff auf beliebige Geräte dieses Herstellers verschaffen und die Einstellungen und Alarme manipulieren und deaktivieren sowie eigenen Code in die Geräte injizieren und ausführen. Der Hersteller wird voraussichtlich am 23. November über die Schwachstelle informiert.

Nächster Artikel

Digitale Lösegelderpresser haben IoT-Geräte im Fadenkreuz

Die breite Palette von Geräten, die mit dem Internet der Dinge verbunden sind, bietet ein reichhaltiges Ziel für Lösegelderpresser.

Weiterlesen