Ein Generalschlüssel für Router und Modems
Der Sicherheitsexperte Stefan Viehböck vom SEC Consult Vulnerability Lab hat Firmware-Images von 4000 sogenannten „Embedded Devices“ wie Routern, Modems, IP-Kameras, VoIP-Telefone und Internet Gateways untersucht. Konkret ging es bei seiner Analyse um die zum Einsatz kommenden Verschlüsselungsmechanismen mit privaten und öffentlichen Schlüsseln sowie Sicherheitszertifikaten.
Was Vielböck dabei herausgefunden hat, ist aus Security-Sicht äußerst erschreckend. Er selbst bezeichnet es als "House of Keys". Mehr als 580 private Schlüssel der Geräte (die eigentlich privat sein sollten) konnten ausgelesen werden. Verknüpft man die Daten mit den Daten internetweiter Scans von Scans.io bedeutet das, dass mehr als neun Prozent der privaten Schlüssel aller HTTPS-Hosts im Internet und die privaten Schlüssel von mehr als sechs Prozent aller SSH-Hosts im Internet ausgelesen werden können.
Was man damit anstellen kann
Das bedeutet ein branchenweites Sicherheitsproblem und eine Art „Generalschlüssel“ für Router und Modems. Dadurch werden die Geräte nämlich anfällig für Angriffe von Kriminellen und können etwa zum Identitätsdiebstahl eingesetzt werden.
Bei sogenannten „Man in the Middle“-Attacken könnten sich Kriminelle außerdem dazwischenschalten und die vollständige Kontrolle über den Datenverkehr zwischen den Netzwerkteilnehmern erlangen und die Informationen jederzeit manipulieren. Im Fall der „Embedded Devices“ ist das vor allem dann möglich, wenn der Angreifer im selben Netzwerksegment sitzt, über das Web wird es schon schwieriger, wie SEC Consult am Freitag mitteilt.
Namhafte Hersteller betroffen
Doch woran liegt es und wie kann es zu derart erschreckenden Ergebnissen überhaupt kommen? Hersteller und Internet Service Provider implementieren meistens keine Verfahren, um ihre Produkte mit einer sicheren Konfiguration auszuliefern. Die SEC Consult arbeitet gemeinsam mit dem Cert daran, die über 70 namhafte Hersteller, die von dieser Sicherheitslücke betroffen sind, über diese Krypto-Schwachstelle zu informieren.
Unter den Betroffenen finden sich auch namhafte Firmen wie Cisco, Deutsche Telekom, Huawei, Motorola, D-Link oder Alcatel-Lucent. Einige Hersteller haben bereits mit der Behebung der Sicherheitslücke gestartet. Es bleibt zu hoffen, dass diesen viele folgen werden. Mehr Informationen zum Umgang der einzelnen Hersteller mit dem Problem und zur Verfügung stehenden Updates finden sich im Advisory des CERT/CC.
Hersteller und ISP sollten auf jeden Fall sicherstellen, dass Geräte - entweder bei der Herstellung in der Fabrik oder beim ersten Start – mit einem einzigartigen kryptografischen Schlüssel ausgestattet werden.