Startseite > Security > Rostige Glieder in der Lieferkette

Schwachstellen in Router-Firmware

Rostige Glieder in der Lieferkette

6. Oktober 2021, 7:00 Uhr | Evan Grant et al./wg

Im April deckte der US-amerikanische Security-Spezialist Tenable mehrere Schwachstellen in der Firmware diverser Buffalo-Router auf, die in Japan auf dem Markt sind. Wenn böswillige Akteure die Schwachstellen ausnutzen, könnten sie diese in Heimnetzwerken gängigen Router, aber möglicherweise auch angeschlossene Geräte kompromittieren. Eine der Schwachstellen besteht in mindestens 20 Router- und Modem-Modellen. Vermarktet von 17 Anbietern, kommen die Geräte in mindestens elf Ländern zum Einsatz, darunter auch in Deutschland.

Während des Veröffentlichungsprozesses stellte sich heraus, dass eine der Schwachstellen nicht nur bei der Buffalo-Router-Serie auftritt. Vielmehr handelt es sich um einen Mangel in der zugrunde liegenden Software des taiwanesischen Auftragsfertigers Arcadyan: CVE-2021-20090, eine Path-Traversal/Authentication-Bypass-Schwachstelle. Obwohl Tenable die genaue Beziehung zwischen Buffalo und Arcadyan nicht kennt, ist bekannt, dass Arcadyan die fraglichen Geräte hergestellt hat und offenbar die Quelle der Firmware ist, mit der die Geräte arbeiten. Die Entdeckung gemeinsam genutzter Bibliotheken (Shared Libraries), die auf mehreren Geräten Verwendung finden, ist in den letzten Jahren zu einem immer wiederkehrenden Thema geworden. Moderne Software ist komplex und zunehmend abhängig von gemeinsam genutzten Bibliotheken.

Problemquelle: Shared Libraries

Es mangelt heute an Transparenz bezüglich der Sicherheitspraktiken der Auftragsfertiger. Die Beziehungen, die diese Lieferkette bilden, stellen die Sicherheitsbranche vor neue Probleme, die es zu berücksichtigen gilt. In dem Maße, in dem Verbraucher und Unternehmen weltweit immer stärker von intelligenten Geräten abhängig sind, diskutieren Regierungen verständlicherweise weltweit die Frage
der Cybersicherheit immer intensiver. So heißt es zum Beispiel im kürzlich verabschiedeten EU Cybersecurity Act dazu: „Digitalisierung und Konnektivität entwickeln sich zu Kernmerkmalen einer ständig steigenden Zahl von Produkten und Dienstleistungen. Mit dem Aufkommen des Internets der Dinge dürften in den nächsten Jahrzehnten eine extrem hohe Zahl vernetzte digitale Geräte unionsweit Verbreitung finden. Zwar sind immer mehr Geräte mit dem Internet vernetzt, doch verfügen sie über eine nur unzureichende Cybersicherheit, da die Sicherheit und Abwehrfähigkeit dieser Geräte schon bei der Konzeption nicht ausreichend berücksichtigt wurden.“

Router und Modems

Die Schwachstellen in den Arcadyan-basierten Routern und Modems verdeutlichen: Die Vielzahl beteiligter Anbieter erschwert es, durch eine gemeinsame Bibliothek verursachte Schwachstellen zu melden, zu verfolgen und zu beheben. Mit jedem neuen Anbieter, der das verwundbare Glied in der Lieferkette weiterverwendet, vergrößert sich die Angriffsfläche exponentiell. Dies macht es komplizierter, angemessene Abhilfemaßnahmen zu ergreifen, um eine massenhafte Ausnutzung zu verhindern.

Folgewirkungen

In Software oder in gemeinsam genutzten Bibliotheken, die in die Softwareprojekte oder Dienstleistungsangebote vieler anderer Anbieter integriert sind, entdecken Forschungsteams immer wieder Schwachstellen. Dann gilt es, die potenziellen Auswirkungen dieser Schwachstellen auf die Kunden und die Sicherheitslage der Branche als Ganzes zu ermitteln.

In den letzten Jahren waren solche Zuordnungsbemühungen ein besonderes Problem für weit verbreitete Softwarebibliotheken, die in IoT- und OT-Geräten (Internet of Things, Operational Technology/Produktionstechnik) zum Einsatz kommen. Fachleute haben zahlreiche Beispiele für Schwachstellen entdeckt, die in den seit Langem genutzten und weit verbreiteten Bibliotheken schlummern.

Beispiele sind die Forschungsarbeiten zu Amnesia:33, Name: Wreck und Number:Jack. In jedem dieser Fälle konnten die Schwachstellen potenziell Millionen von Geräten betreffen, da die Bibliotheken in Projekte integriert waren, die sich in der Lieferkette nach unten hin ausbreiteten.