Vor allem mit Sicherheitslücken gespickte Software Development Kits (SDK) sind ein Ursprung für Supply-Chain-Attacken. Schließlich ist damit erstellte Software ebenfalls verwundbar. Sicherheitsforscher von Microsoft habe diese Art der Bedrohung nun am Beispiel des schon lange nicht mehr im Support befindlichen Web-Servers Boa festgemacht. In einem Bericht schildern sie, dass Ende Oktober 2022 bekannt gewordene Angriffe auf ein indisches Energieversorgungsunternehmen auf IoT-Geräte mit dem verwundbaren Boa Web-Server zurückgehen. Der Support dafür ist bereits 2005 ausgelaufen. Seitdem bekommt die Software keine Sicherheitsupdates mehr. In dem Bericht nennt Microsoft beispielsweise zwei Sicherheitslücken (CVE-2017-9833 „hoch“, CVE-2021-33558 „hoch“) über die Angreifer Schadcode auf Systemen ausführen könnten. Problematisch ist, dass der Web-Server Microsoft zufolge noch in vielen SDKs und IoT-Geräten zum Einsatz kommt. Dementsprechend werden die Verwundbarkeiten beim Erstellen von Software quasi vererbt und Angreifer können daran ansetzen. Oft ist Admins gar nicht klar, dass Boa bei ihnen im Netzwerk zum Einsatz kommt. Schließlich ist so eine Software-Lieferkette oft lang und schwer durchschaubar. Ein Grund, warum solche Attacken so gefährlich sind. Weiterhin ist es auch brisant, dass viele IoT-Geräte gar keine Updates bekommen, sogar, wenn es welche gibt. Doch selbst wenn Sicherheitspatches auf Geräten installiert werden, repariert das nicht die Ursprungsschwachstellen im SDK. Die Sicherheitsforscher erläutern, dass es in diesem Fall etwa Patches für ein RealTeak-SDK mit Boa gibt, es aber unklar ist, ob alle Hersteller sie in ihrer Firmware implementieren. Der Boa Web-Server bietet unter anderem Zugang zu Managementkonsolen und kommt etwa in Kameras und Routern zum Einsatz. Die Forscher geben an, innerhalb von einer Woche weltweit über 1 Million am Internet hängende Instanzen mit dem Web-Server beobachtet zu haben. Solche Geräte kommen oft in kritischen Infrastruktur zum Einsatz, wie der erfolgreiche Zugriff auf das indische Energieversorgungsunternehmen gezeigt hat. Eine Musterlösung für Supply-Chain-Attacken gibt es leider nicht – hier sind schlicht zu viele individuelle Faktoren involviert. Generell sollte man natürlich verfügbare Sicherheitsupdates zügig installieren. Geräte hinter Firewalls abschotten und sie nur an das Internet hängen, wenn es gar nicht anders geht. Ist das der Fall, sollte man Zugriffe stets reglementieren und nur durch etwa verschlüsselte VPN-Verbindungen zulassen. Wichtige Maßnahmen und Tipps, um solche Attacken vorzubeugen, geben etwa Google und die NSA. In der jüngsten Vergangenheit sorgten Supply-Chain-Attacken im Kontext des weitverbreiteten Frameworks Log4j für Schlagzeilen.

Quelle: Heise