Modems kommen in der Industrie, im Gesundheitswesen, der Automobil- und Finanzbranche und im Telekommunikationssektor zum Einsatz
Cinterion-Mobilfunkmodems weisen kritische Sicherheitslücken auf, wie eine aktuelle Analyse des Kaspersky ICS CERT zeigt [1]. Indem sie diese ausnutzen, können Angreifer beliebigen Code ausführen; die Sicherheitslücken stellen eine große Bedrohung für Millionen industrieller Geräte dar. Kaspersky wird Details zur Untersuchung der gefundenen Schwachstellen auf der OffensiveCon [2] in Berlin am 11. Mai 2024 vorstellen.
Die Experten des Kaspersky ICS CERT haben schwerwiegende Sicherheitslücken in Cinterion-Mobilfunkmodems entdeckt. Diese kommen in Millionen von Geräten zum Einsatz, unter anderem in den Branchen Industrie, Gesundheitswesen, Automobil, Finanzen und Telekommunikation, und sind für die weltweite Netzinfrastruktur von entscheidender Bedeutung. Die gefundenen Schwachstellen ermöglichen die Remote-Ausführung von Code und die unbefugte Ausweitung von Berechtigungen, so dass sie erhebliche Risiken für integrierte Kommunikationsnetzwerke und IoT-Geräte darstellen.
Zu den riskantesten gefundenen Sicherheitslücken zählt CVE-2023-47610. Dabei handelt es sich um eine Heap-Overflow-Schwachstelle innerhalb des SUPL Message Handlers des Modems. Dadurch können Angreifer remote beliebigen Code per SMS ausführen und erhalten umfassenden Zugriff auf das Betriebssystem des Modems. Dieser Zugriff erleichtert die Manipulation der RAM- und Flash-Speicher und erhöht das Potenzial, die vollständige Kontrolle über die Funktionen des Modems zu erlangen – ohne Authentifizierung oder physischen Zugriff auf das Gerät.
Im Zuge der Untersuchungen wurden weitere erhebliche Sicherheitslücken beim Umgang mit MIDlets, Java-basierten Anwendungen, die auf den Modems laufen, entdeckt. Dadurch kann die Integrität dieser Anwendungen kompromittiert werden, da Angreifer damit die Prüfung digitaler Signaturen umgehen und so unberechtigt Code mit erhöhten Rechten ausführen können. Dies stellt nicht nur ein erhebliches Risiko für die Vertraulichkeit und Integrität der Daten dar, sondern erhöht auch die Bedrohung für die allgemeine Netzwerksicherheit und Geräteintegrität.
„Die von uns gefundenen Schwachstellen sowie der weit verbreitete Einsatz dieser Geräte in verschiedenen Branchen könnten weltweit zu weitreichenden Störungen führen – von wirtschaftlichen und betrieblichen Auswirkungen bis hin zu Sicherheitsproblemen“, fasst Evgeny Goncharov, Head of Kaspersky ICS CERT, zusammen. „Da solche Modems typischerweise in einer Matrjoschka-Form in andere Lösungen integriert sind und Produkte eines Anbieters auf denen weiterer aufbauen, ist die Zusammenstellung einer Liste der betroffenen Endprodukte eine Herausforderung. Betroffene Anbieter müssen umfangreiche Anstrengungen unternehmen, um den Risiken Herr zu werden, allerdings dürfte dies nur durch die Telekommunikationsbetreiber möglich sein. Wir hoffen, dass unsere eingehende Analyse allen Stakeholdern dabei hilft, entsprechende Sicherheitsmaßnahmen umzusetzen und einen wertvollen Input für die zukünftige Cybersicherheitsforschung darstellt.“
Kaspersky hat Informationen zu den gefundenen Schwachstellen vorab mit dem Hersteller geteilt. Die Cinterion-Modems, die ursprünglich von Gemalto entwickelt wurden, sind Eckpfeiler der Machine-to-Machine- (M2M) und IoT-Kommunikation und unterstützen eine breite Palette von Anwendungen – von der industriellen Automatisierung und Fahrzeugtelematik bis hin zu Smart Metering und Gesundheitsüberwachung. Gemalto, der ursprüngliche Entwickler, wurde später von Thales übernommen. Im Jahr 2023 übernahm Telit das Geschäft mit Mobilfunk-IoT-Produkten von Thales, einschließlich der Cinterion-Modems.
Kaspersky-Empfehlungen zum Schutz vor Angriffen über die gefundenen Schwachstellen
- Grundlegend, um der Bedrohung CVE-2023-47610 zu begegnen: Nicht unbedingt erforderliche SMS-Nachrichtenfunktionen umgehend deaktivieren und private APNs mit strengen Sicherheitseinstellungen nutzen.
- Für die Zero-Days CVE-2023-47611 bis CVE-2023-47616: Eine strenge digitale Signaturüberprüfung für MIDlets durchsetzen, den physischen Zugriff auf Geräte kontrollieren und regelmäßige Sicherheitsüberprüfungen und -updates durchführen.
- Das Sicherheitsteam sollte stets Zugriff auf aktuelle Bedrohungsdaten haben. Die Threat Intelligence von Kaspersky [3] bietet Einblicke in aktuelle Bedrohungen und Angriffsvektoren sowie in die anfälligsten Elemente und deren Eindämmung.
- Eine zuverlässige Endpunktschutzlösung wie Kaspersky Endpoint Security for Business [4] implementieren, die Anomalien im Dateiverhalten erkennen und dateilose Malware-Aktivitäten aufdecken kann.
- Sicher stellen, dass auch industrielle Endpoints umfassend geschützt sind. Dedizierte Lösungen wie Kaspersky Industrial CyberSecurity [5] bieten Schutz für Endpoints sowie Funktionen zur Netzwerküberwachung, um verdächtige und potenziell schädliche Aktivitäten im industriellen Netzwerk aufzudecken.
- Um Abweichungen im Herstellungsprozess aufzudecken, die durch einen Unfall, menschliches Versagen oder einen Cyberangriff verursacht wurden, und Störungen zu verhindern, kann Kaspersky Machine Learning for Anomaly Detection [6] helfen.
- Den Einsatz cyberimmuner Lösungen [7] erwägen, um einen integrierten Schutz gegen Cyberangriffe aufzubauen.
- Eine Sicherheitslösung wie Kaspersky Embedded Systems Security [8] nutzen, die die Geräte vor verschiedenen Angriffsvektoren schützt.
Weitere Informationen sind verfügbar unter https://ics-cert.kaspersky.ru/advisories/2023/11/08/klcert-23-018-telit-cinterion-thales-gemalto-modules-buffer-copy-without-checking-size-of-input-vulnerability
[2] https://www.offensivecon.org/
[3] https://www.kaspersky.de/enterprise-security/threat-intelligence
[4] https://www.kaspersky.de/enterprise-security/endpoint
[5] https://www.kaspersky.de/enterprise-security/industrial-cybersecurity
[6] https://mlad.kaspersky.com/
[7] https://os.kaspersky.com/technologies/
[8] https://www.kaspersky.de/enterprise-security/embedded-systems
Nützliche Links:
- Informationen zu den gefundenen Schwachstellen in Cinterion-Modems: https://ics-cert.kaspersky.ru/advisories/2023/11/08/klcert-23-018-telit-cinterion-thales-gemalto-modules-buffer-copy-without-checking-size-of-input-vulnerability
- Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence
- Kaspersky-Lösungen für große Unternehmen: https://www.kaspersky.de/enterprise-security/products
- Kaspersky Industrial CyberSecurity: https://www.kaspersky.de/enterprise-security/industrial-cybersecurity