Angriff über die Lieferketten
Zombie-Sicherheitslücken leben lange
Aber nicht nur Hardware kann für die Supply Chain gefährlich werden, sondern auch Software. Neben speziell hinzuprogrammierten Backdoors wird derzeit ein weiteres Phänomen in der Cybersecurity-Szene diskutiert. So wurde an den diesjährigen Hackerkonferenzen Defcon und Black Hat verschiedentlich von sogenannten Zombie-Sicherheitslücken berichtet. Dabei handelt es sich beispielsweise um alte Sicherheitslücken, die als längst gepatcht galten. Diese tauchen dann in Programmen und eben auch Geräten wieder auf, weil alte, ungepatchte Software-Bibliotheken in neuen Projekten verwendet werden. Auch werden darunter Lücken verstanden, die zwar schnell gepatcht wurden, aber mit kleinen Änderungen doch wieder geöffnet werden können.
“Jeder einzelne Punkt der Lieferkette muss als möglicher Angriffspunkt verstanden werden – nicht nur der schwächste„
Thomas Uhlemann, Eset
So berichteten Cybersecurity-Forscher von JSOF von diversen Fehlern in einer TCP/IP-Bibliothek, die in der Folge in einer grossen Zahl von vernetzten Gerätschaften Verwendung fand. Die «Ripple20» getaufte Lücke schlummert somit in medizinischen Apparaten, industriellen Steuereinheiten oder Druckern. Einen Patch auszuliefern, ist hier fast ein Ding der Unmöglichkeit. Schliesslich geben die wenigsten Hersteller bekannt, welche Software-Versatzstücke in all ihren Produkten untergebracht sind.
«Die Gefahr ist gross und real», kommentiert Frei diese jüngste Entwicklung. «Wir hängen von unzähligen Software-Produkten ab, quelloffen oder proprietär, welche wiederum von unzähligen Software Libraries abhängen, die wiederum über Abhängigkeiten verfügen», veranschaulicht er die Verkettungen.
Die Ripple20-Lücke erstaunt auch Uhlemann von Eset keineswegs. «Netzwerk-Stacks, DNS und manch andere, kritische Komponenten des heutigen Internetverkehrs haben ihre Ursprünge teilweise in den 1970er-Jahren», umschreibt er die Situation. Über diese werde häufig nicht weiter nachgedacht. Ihm zufolge gelten sie als «vertrauenswürdig, weil schon immer da». Dies wüssten Kriminelle und nutzten diesen Zustand entsprechend aus. «Fehlende Authentifizierungsmassnahmen, obsolete, aber immer noch funktionierende Netzwerk-Tools wie Telnet, stellen eine durchaus ernst zu nehmende Gefahr dar», sagt Uhlemann.
Es gibt aber auch Möglichkeiten, Gegensteuer zu geben. «Ein Open-Source-Ansatz und reizvolle Bug-Bounty-Programme sind daher begrüssenswert», fordert Uhlemann. «Sie fördern das rasche Auffinden und Beseitigen von potenziellen Schwachstellen oder solchen, die durch Verknüpfungen von (alten) Standards entstehen», ist er überzeugt.
Schliesslich haben es Cyberkriminelle vielfach auf die Software-Lieferkette als solche abgesehen. Kasperskys Biolley nennt in diesem Zusammenhang die sogenannte Operation ShadowHammer. Dabei wurde eine Backdoor in das Update-Programm des PC-Herstellers Asus eingefügt. Alle Anwender, die ihren Rechner in der Folge mit einem Update versorgen wollten, handelten sich eine Malware ein. «Das Perfide an Supply-Chain-Attacken im Software-Bereich ist, dass womöglich Millionen von Nutzern betroffen sind, wenn es den Angreifern gelingt, Malware einzuschleusen», betont Biolley.