Tenable hat auf ein branchenweites Sicherheitsproblem hingewiesen, das durch die Wiederverwendung von anfälligem Software-Code durch Hersteller entsteht. Tenable Research hat zuvor eine zwölf Jahre alte Schwachstelle [CVE-2021-20090] entdeckt, die möglicherweise Millionen von Routern bei Dutzenden von Herstellern angreifbar macht.
Jüngste Untersuchungen von Tenable enthüllen eine große Schwachstelle, die Home-Router betrifft. Wie wurde diese entdeckt, was könnte durch Ausnutzung erreicht werden und wie viele sind betroffen?
Wenn Kunden von ihrem Internet Service Provider (ISP) einen Router für die Internetnutzung zu Hause zur Verfügung gestellt bekommen, gehen sie automatisch davon aus, dass er einwandfrei funktioniert und stellen die Sicherheit der zugehörigen Software kaum in Frage. Jüngste Untersuchungen von Tenable zeigen jedoch, dass eine Reihe von Routern von einer gängigen Schwachstelle betroffen ist.
Im April 2021 hatte Tenable mehrere Schwachstellen in Consumer-Routern des japanischen Unternehmens Buffalo aufgedeckt, darunter Path Traversal, Configuration File Injection und unsachgemäße Zugriffskontrolle. Dabei stellte sich auch heraus, dass eine der Schwachstellen, die Path Traversal/Authentication Bypass-Schwachstelle CVE-2021-20090, nicht nur bei den Routern der Buffalo-Serie auftrat, sondern eine Sicherheitslücke in der zugrundeliegenden Arcadyan-Software war.
Da Arcadyan viele andere Geräte herstellt und offenbar auch die Quelle der Firmware ist, mit der die Geräte betrieben werden, ist es wahrscheinlich, dass die Sicherheitslücke mindestens 20 weitere Geräte von 17 verschiedenen Herstellern betrifft. Das älteste betroffene Gerät, das Tenable entdeckt hat, wurde im Mai 2008 auf den Markt gebracht.
Somit handelt es sich um eine Schwachstelle, die von einem Entwickler zum nächsten weitergegeben wurde, die sich in dem in WLAN-Routern verwendeten Code hartnäckig hält und die in einem Fall seit über zehn Jahren nicht mehr entdeckt worden ist.
Der Ursprung der Schwachstelle liegt im Webserver, der Teil der mit den Arcadyan-Geräten gelieferten Firmware ist. Wie wir in vielen Fällen gesehen haben, bleibt eine Sicherheitslücke in einer Software-Bibliothek, die in anderen Anwendungen und Geräten eingesetzt wird, dauerhaft bestehen und wird nicht entdeckt oder beseitigt.
Die Verwendung gemeinsam genutzter Bibliotheken von Drittanbietern ist seit vielen Jahren ein ständiges Problem: Die Heartbleed-OpenSSL-Schwachstelle aus dem Jahr 2014 wurde durch dieses Problem verursacht, während der Equifax-Sicherheitsvorfall 2017 durch eine Schwachstelle im Open-Source-Webanwendungs-Framework Apache Struts ermöglicht wurde, das Equifax nicht aktualisiert hatte.
Da Softwarebibliotheken von Drittanbietern ohne ordnungsgemäße Sicherheitsprüfung wiederverwendet werden und dieser Code in mehreren Geräten weiterverwendet wird, kann dies zu nachgelagerten Effekten für den Endnutzer führen.
Tenable hat seine Erkenntnisse in einem neuen Whitepaper veröffentlicht, um dieses Problem zu beleuchten. Ziel ist es, das Bewusstsein für die Schwachstelle und ihre potenziellen Auswirkungen und Möglichkeiten bei einer Ausnutzung zu schärfen und zu zeigen, wie dieses wiederkehrende Problem durch eine bessere Zusammenarbeit zwischen den Beteiligten bei der Suche nach und Meldung von Schwachstellen in gemeinsam genutzten Codebibliotheken besser gelöst werden kann.
In diesem neuen Whitepaper zeigen die Forscher von Tenable an einem Beispiel, wie diese Schwachstelle in mehreren Geräten auftauchte. Die Forscher gehen davon aus, dass mindestens 13 ISPs in elf Ländern die betroffene Software verwenden, obwohl die Geräte dieselbe Basis-Hardware haben, aber unterschiedliche Funktionen, unterschiedliche Skripte und verschiedene Varianten desselben Webservers.
Die Schwachstelle wird von den Forschern als „trivial einfache Path-Transversal-Schwachstelle“ beschrieben, die es Angreifern ermöglicht, die Authentifizierung an der Webschnittstelle zu umgehen und die Gerätekonfiguration zu ändern, um Endbenutzern bösartige Inhalte zu liefern. Auf diese Weise könnte ein Angreifer die Umgehung der Authentifizierung ausnutzen, um Zugriff auf Funktionen zu erhalten, die ihn mit größerer Wahrscheinlichkeit zu einer anderen Schwachstelle wie CVE-2021-20091 führen. Die Forscher entdeckten auch eine Configuration-Injection-Schwachstelle in einem der Router-Modelle, die einem Angreifer Root-Zugriff auf das Gerät ermöglichen könnte.
Das Ausmaß dieser Schwachstelle ist eines der Hauptprobleme, da unzählige Privatanwender betroffen sein könnten, von denen viele offenbar nicht wissen, wie sie ihren Router aktualisieren sollen. Der Einsatz dieser Router ist weit verbreitet, und die Enthüllungen der Tenable-Forscher werden den Router-Herstellern helfen, das Problem zu beheben und zu erkennen.
Gibt es eine Möglichkeit, Probleme mit gemeinsam genutztem Code in Zukunft zu verhindern? Die Tenable-Forscher empfehlen drei Möglichkeiten zur Vermeidung dieses Problems: die Erstellung einer Software Bill of Materials (SBOM), einer „formalen Aufzeichnung, die die Details und Lieferkettenbeziehungen der verschiedenen Komponenten enthält, die bei der Erstellung von Software verwendet werden“; die Anwendung sicherer Softwareentwicklungspraktiken; oder die Einrichtung eines Product Security Incident Response Teams (PSIRT), das einen Prozess zur Behandlung gemeldeter Schwachstellen definiert.
Wenn die Hersteller bereit wären, eine (oder alle) dieser Praktiken zu befolgen, um das Risiko in ihrer Lieferkette zu mindern, ließe sich ein Stück weit sicherstellen, dass die Schwachstellen in ihren Geräten nicht vorhanden sind. Wenn es für die Zulieferer zur Pflicht gemacht würde, dieselben Praktiken zu befolgen, wäre dieses Element der Lieferkette vor solchen Vorfällen geschützt.
https://de.tenable.com/