Aktueller Channel Fokus:

AV & Digital Signage

Cybersecurity

Angriffe auf smarte Zutrittskontrollsysteme häufen sich

| Redakteur: Jürgen Schreier

Von wegen sicher: Auch intelligente Türöffner lassen sich von Hackern kapern und missbrauchen.
Von wegen sicher: Auch intelligente Türöffner lassen sich von Hackern kapern und missbrauchen. (Bild: gemeinfrei / Pixabay)

Smarte Zugangskontrollsystemen sorgen dafür, dass eine Person mittels Chipkarte nur zu den Bereichen Zugang erhält, die für sie relevant sind. Die Nutzung der Karten lässt sich protokollieren detailliert nachvollziehen. Allerdings gibt es bei solchen Systemen auch Sicherheitslücken.

Smarte Zutrittskontrolle sollen die Sicherheit in Unternehmen, Fabriken und Behörden verbessern. Mit einer Chipkarten kann ein Beschäftigter nur den Bereich betreten, für den ihm eine Berechtigung zugewiesen wurde. Allerdings gibt es auch bei ein solchen Systemen Sicherheitslücken, so wie Linear eMerge E3, einem Produkt des US-Herstellers Nortek Security & Control (NSC).

Hacker nutzen smarte Türöffner für (D)DoS-Attacken

Bereits im Mai 2019 veröffentlichten Sicherheitsforscher von Applied Risk Details zu zehn Sicherheitslücken in den Linear-eMerge-E3-Produkten, von denen sechs mit einer Schwere zwischen 9,8 und 10 auf einer zehnstufigen Skala eingestuft wurden. Im November 2019 folgte die Veröffentlichung eines Proof of Concept. Trotzdem stellte NSC offenbar bislang keine Patches für die Sicherheitslücken zur Verfügung.

Wie der Security-Spezialist 8com GmbH & Co. KG mitteilt, nutzen diese Nachlässigkeit kriminelle Hacker derzeit verstärkt aus. Seit dem 9. Januar 2020 wird insbesondere die Sicherheitslücke CVE-2019-7256 dafür genutzt, um Schadsoftware in die Zugangssysteme einzuschleusen und diese anschließend für Denial-of-Service-Angriffe (DoS) auf andere Ziele zu nutzen. Bei CVE-2019-7256 handelt es sich um einen Fehler bei der Eingabe von Befehlen, der von Applied Risk mit dem höchstmöglichen Schweregrad bewertet wurde. Diese Sicherheitslücke soll auch von gering qualifizierten Angreifern ohne fortgeschrittene technische Kenntnisse aus der Ferne genutzt werden können.

Betroffen sind laut Sonic Wall insgesamt 2375 über das Internet zugängliche Geräte, die mit der Shodan-Suchmaschine gefunden werden können. Das klingt nach nicht allzu vielen Geräten, die für einen Distributed-Denial-of-Service-Angriff (DDoS) verwendet werden können.

System vom Internet trennen

Allerdings lassen sich intelligente Zugangssysteme auch als Einfallstor in die internen und weitaus sensibleren Umgebungen der betroffenen Unternehmen nutzen. Erst im August 2019 berichtete Microsoft, dass eine scheinbar russische Hackergruppe Internet-of-Things-Geräte (IoT) angegriffen habe, um sich so weiter in die betroffenen Systeme vorzuarbeiten. Das könnte auch den Nutzern von CVE-2019-7256 blühen, ganz davon abgesehen, dass ein gekapertes Türsystem auch andere sicherheitsrelevante Probleme mit sich bringt.

Nutzern eines betroffenen Zugangssystems wird aktuell empfohlen, das System vom Internet zu trennen, um es nicht angreifbar zu machen. Ist das nicht möglich, sollte der Zugriff auf die Geräte begrenzt werden, etwa mit einem VPN oder einer Firewall. Wünschenswert wäre ein baldiger Patch, der auch die anderen von Applied Risk beschriebenen Sicherheitslücken schließt.

Anteil komplexer Multivektor-Attacken nimmt zu

Der IT-Sicherheitsanbieter Link11 hat seinen DDoS-Report für 2019 veröffentlicht. Der Bericht basiert auf Daten von abgewehrten Attacken auf Webseiten und Server, die durch das Link11 Security Operation Center (LSOC) geschützt sind.

Eine steigende Komplexität der Angriffe und ein wachsender Missbrauch von Cloud-Servern zählen zu den wichtigsten Entwicklungen:
Multivektor-Angriffe nehmen zu: Der Anteil der Multivektor-Angriffe, die auf mehrere Protokolle und Schwachstellen abzielen und diese missbrauchen, stieg deutlich von 46 Prozent im ersten Quartal auf 65 Prozent im vierten Quartal.
DNS-Reflection-Amplification war der beliebteste Verstärkungs-Vektor bei DDoS-Angreifern: Die Angreifer setzten 2019 am häufigsten DNS-Reflection ein, die in jeder dritten Attacke mit Verstärkungstechniken nachgewiesen wurde. Angeiferseitig wurden dabei unsichere DNS-Server ausgenutzt, von denen es laut Open Resolver Project Ende 2019 weltweit über 2,7 Millionen gab.
• Die durchschnittliche Angriffsbandbreite steigt weiter: Die mittlere Bandbreite der Angriffe hat innerhalb von vier Jahren um mehr als 150 Prozent zugenommen und erreichte 2019 über 5 Gbps - gegenüber 2 Gbps im Jahr 2016. Auch das maximale Angriffsvolumen hat sich im Vergleich zu 2018 fast verdoppelt: von 371 Gbps auf 724 Gbps.
Angriffe über missbrauchte Cloud-Server nehmen zu: Der Anteil der DDoS-Angriffe unter Einsatz von Cloud-Ressourcen lag zwischen Januar und Dezember bei 45 Prozent. Das ist ein Anstieg um 16 Prozent gegenüber dem gleichen Zeitraum 2018. In den letzten sechs Monaten des Jahres 2019 stieg der Anteil auf 51 Prozent. Die Anzahl der Attacken auf die verschiedenen Provider ist etwa proportional zu ihrem relativen Marktanteil. Die meisten missbrauchten Instanzen waren auf AWS, Microsoft Azure und die Google Cloud registriert.
• Der längste DDoS-Angriff dauerte 6.459 Minuten, mehr als 100 Stunden.

Das LSOC hat im letzten Jahr auch eine Reihe neuer Verstärker-Techniken registriert, darunter WS-Discovery, Apple Remote Management Service und TCP Reflection. Das LSOC verzeichnete in der zweiten Hälfte des Jahres zudem eine neue Angriffstaktik, die „Carpet Bombing“ genannt wird. Dahinter steht eine Flut einzelner Angriffe, die zeitgleich gegen ein gesamtes Subnetz mit mehreren 1.000 Hosts gefahren wird.

Download DDoS-Report 2019

Dieser Beitrag stammt von unserem Partnerportal Bandbreite.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46360299 / Security)