In zahlreichen Geräten führender Anbieter wie Cisco, DD-WRT oder Linksys finden sich Hardware-Bausteine von Broadcom. Diese enthalten deutliche Sicherheitslücken im Software Development Kit (SDK), berichtet das Security-Unternehmen IoT Inspector.
Das Team des IoT Inspector Research Lab deckte soeben Schwachstellen auf, die sich seit über zehn Jahren wie ein roter Faden durch auf Broadcom aufbauende Produkte ziehen, und für Hacker eine willkommene verwundbare Flanke bieten. „Neben der Problematik der nicht überwachten Supply Chain – also der Nutzung von Hardware ohne vorheriger Risiko-Überprüfung – fällt hier auf, wie schwerwiegend die Folgen von Copy-Paste-Engineering sein können: Diese Schwachstellen werden – obwohl Broadcom nach unseren Ergebnissen bereits 2011 einen Patch veröffentlichte – immer wieder in Produkte führender Hersteller verbaut, die auf eine fehlerhafte Version des SDK aufbauen“, analysiert Florian Lukavsky, Geschäftsführer von IoT Inspector. Das Unternehmen bietet eine Plattform zur Analyse von Device-Firmware und deckt regelmäßig Schwachstellen bei Komponenten- oder Geräteherstellern auf.
Supply Chain erfordert Kontrolle
Von den Sicherheitslücken betroffen sind unter anderem die Cisco-Router der Small Business Serie RV110W, RV130, RV130W und RV215W, die tausendfach bei Unternehmen im Einsatz sind. Diese ermöglicht über die Universal Plug-and-Play (UPnP)-Funktion die Fernsteuerung des Routers und eine DoS-Attacke (Denial of Service). Die Schwachstelle wird unter der CVE-2021-34730 mit einer Risikobewertung von 9.8 (kritisch) für Cisco geführt. Problematisch ist die Identifikation der betroffenen Geräte – bis heute hat Broadcom keine Informationen darüber gegeben, welche Versionen der SDK bestroffen sind. „Die wahre Schwachstelle liegt in der Supply Chain. Gerätehersteller nutzen Bausteine von Fremdherstellern und verbauen diese ohne Prüfung der Quellcodes. Das muss sich schnell ändern, um Transparenz zu schaffen und Hacker soweit wie möglich in die Defensive zu drängen“, erklärt Florian Lukavsky von IoT Inspector.
Copy-Paste-Engineering
Eine Ursache solcher Schwachstellen ist die Nutzung bestehender Software Development Kits, die lediglich auf neue Geräte umgeschrieben werden. Dabei liegt in der Tiefe des Codes ein gewaltiges Potential für Schäden. „Schwachstellen wie diese verstecken sich oft tief im Code und fallen bei der Entwicklung von Komponenten wie WLAN-Routern kaum auf. So potenziert sich jedoch die damit verbundene Gefahr, während die Nachverfolgbarkeit der Lücken erschwert wird“, resümiert Florian Lukavsky.
www.iot-inspector.com