Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben insgesamt zehn Schwachstellen in der Reyee-Cloud-Management-Plattform des chinesischen Netzwerkanbieters Ruijie Networks entdeckt. Dadurch war es Angreifern möglich, auf jedem mit der Cloud verbundenen Gerät Code auszuführen und damit zehntausende Geräte zu kontrollieren.
Darüber hinaus haben die Sicherheitsforscher einen Angriff entwickelt, bei dem ein Gerät in unmittelbarer Nähe über die Cloud ausgenutzt werden kann, um beliebigen Code darauf auszuführen und sich Zugang zum internen Netzwerk zu verschaffen. Die Schwachstellen wurden dem Hersteller gemeldet, der sie mittlerweile behoben hat.
Zugriff auf zehntausende Geräte
Ruijie hat sich in den letzten Jahren zu einem bedeutenden globalen Anbieter von Netzwerklösungen entwickelt. Das Unternehmen beschäftigt weltweit mehr als 8.000 Mitarbeitende und ist in über 60 Ländern vertreten. Die Netzwerkgeräte werden vielfach in Hotels, Universitäten, Flughäfen und Einkaufszentren eingesetzt. Ruijie bietet seinen Kunden die Möglichkeit, Geräte und Netzwerke aus der Ferne zu verwalten. Dies geschieht über ein Cloud-basiertes Web-Management-Portal, das registrierten Nutzern zugänglich ist. Über diese Plattform können Nutzer auch ihre Geräte konfigurieren und deren Betrieb überwachen.
Den Sicherheitsforschern von Team82 gelang es, die entsprechende Authentifizierung zu knacken. Wenn man die Seriennummer eines Geräts kennt, kann man dessen MQTT-Benutzername/Passwort-Paar generieren. Das Problem dabei ist, dass die Seriennummer kein starker Identifikator ist, da sie in der Regel einem sequenziellen Muster folgt. Erschwerend kommt hinzu, dass Benutzer teilweise die Seriennummern der Geräte (auch unbeabsichtigt) weitergeben. Dadurch werden jedoch die Anmeldedaten der Geräte preisgegeben. So finden sich auf YouTube einige Unboxing-Videos von Ruijie-Access-Points, in denen die Seriennummern zu erkennen sind.
Nachlässigkeit bei den Seriennummern
Sobald Angreifer über eine Seriennummer verfügen, können sie ein einfaches Python-Skript implementieren, um sich mit dem MQTT-Broker von Ruijie zu verbinden und das Gerät zu authentifizieren. Auf dieser Grundlage konnten die Experten nicht nur die Kommunikation zwischen dem Cloud-Management und allen verbundenen Geräten abhören, sondern auch über den RCE-as-a-Service von Ruijie Code auf jedem mit der Cloud verbundenen Gerät ausführen. Weitere Informationen, Hintergründe, ein Proof-of-Concept-Video, sowie und technische Details finden sich im entsprechenden Blog-Beitrag von Claroty.
Mehr bei Claroty.com
Über Claroty Claroty, die Industrial Cybersecurity Company, hilft ihren weltweiten Kunden, ihre OT-, IoT- und IIoT-Anlagen zu erkennen, zu schützen und zu verwalten. Die umfassende Plattform des Unternehmens lässt sich nahtlos in die bestehende Infrastruktur und Prozesse der Kunden einbinden und bietet eine breite Palette an industriellen Cybersicherheitskontrollen für Transparenz, Bedrohungserkennung, Risiko- und Schwachstellenmanagement sowie sicheren Fernzugriff – bei deutlich reduzierten Gesamtbetriebskosten.