Sicherheitslücken bei Sofortbildkamera Ubiquiti G4 und Router

2019 wurde bekannt, dass fast 500.000 Geräte von Ubiquiti anfällig für DoS-Attacken sind. Der Hersteller gab dann bekannt, dass die Sicherheitslücke mittels Patch geschlossen wurde und sämtliche Geräte mit der jüngsten Firmware versehen worden sind. Jetzt hat Check Point Research herausgefunden, dass noch immer über 20 000 Geräte gefährdet sind. Die entschlüsselten Host-Namen enthüllten detaillierte Informationen über die Geräte, einschließlich der Namen der Besitzer und der Standorte, die beispielsweise für Social-Engineering-Angriffe ausgenutzt werden könnten.

Beispiele für offengelegte Daten sind die Geräte-Identifizierung mit Enthüllung von Gerätetypen, wie NanoStation Loco M2 oder AirGrid M5 HP. Dazu könnten Informationen über den Besitzer wie Namen, Firmennamen und Adressen abgezogen und für gezielte Angriffe genutzt werden. Einige Geräte zeigten sogar Warnungen wie „HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD“ an, die darauf hinwiesen, dass sie attackiert worden waren.

Schwachstellen bei IoT-Geräten

Für die Sicherheitsforscher ist dies ein Beispiel für die Schwierigkeit, bei IoT-Geräten eine Schwachstelle vollständig zu schließen. Die Sicherheitsforscher haben entdeckt, dass, neben dem Secure Shell (SSH)-Protokoll (das manuell aktiviert werden muss) und einem Webserver für die Standardverwaltung, zwei benutzerdefinierte privilegierte Prozesse auf der Netzwerkschnittstelle der Kamera offengelegt wurden. Sie verwenden das UDP-Protokoll an den Ports 10001 und 7004. Sicherheitslücken in diesen Diensten können zu einer vollständigen Infiltrierung des Geräts führen.

Über das Monitoring-Tool tcpdump identifizierten die Forscher auf dem Port 10001 das Ubiquiti-Erkennungsprotokoll. Das CloudKey+-Gerät sendete zudem regelmäßig Ping-Pakete an Multicast- und erkannte Geräte, und die Kamera antwortete mit Meldungen, die detaillierte Informationen wie Plattformname, Softwareversion und IP-Adressen enthielten. Es fiel auf, dass das Erkennungspaket (ping) keine Authentifizierung enthielt. Zudem war die Antwort der Kamera deutlich größer als das Erkennungspaket, was auf ein Potenzial für Wirkungsverstärkerangriffe hinweist.

Geräte reagierten auf gefälschte Pakete

Die Forscher waren in der Lage, ein gefälschtes Erkennungspaket an das interne Testnetzwerk zu senden und sowohl die G4-Kamera als auch die CK+ reagierten. Anschließend prüften sie, ob sich dieses Verhalten auch über das Internet reproduzieren ließ. Trotz Port-Weiterleitung reagierten die Geräte nicht auf Internet-Sonden, was wahrscheinlich auf die spezielle Netzwerkeinrichtung und NATing von CPR zurückzuführen ist. Mit einem benutzerdefinierten Decoder konnten die Experten jedoch über 20 000 Ubiquiti-Geräte im Internet identifizieren. Zufällige Stichproben zeigten, dass auch diese Geräte auf gefälschte Pakete reagierten. Dieses Problem wurde bereits früher gemeldet (CVE-2017-0938) und eigentlich von Ubiquiti behoben, wie oben beschrieben.

Check Point Research hat Ubiquiti bezüglich der Geräte kontaktiert, die auf den Internet-Test reagiert haben. Ubiquiti teilte mit, dass dieses Problem mit einem Patch behoben wurde. Geräte mit der neuen Firmware sollten nur noch auf Discovery-Pakete reagieren, die von internen IP-Adressen gesendet werden. Somit sollte jeder Nutzer sein Gerät umgehend aktualisieren.

Neueste Firmware-Version verwenden

Die Behebung von Fehlern und Sicherheitsproblemen in IoT-Geräten nach dem Verkauf ist eine große Herausforderung. Im Gegensatz zu Cloud-Diensten, bei denen ein einziger Patch sofort alle Benutzer schützen kann, verbreiten sich Updates für IoT-Geräte nur langsam und es dauert oft Jahre, bis sie alle Geräte erreichen. Einige Benutzer aktualisieren ihre Systeme möglicherweise nie, so dass sie dauerhaft verwundbar bleiben. Daher ist es unerlässlich, IoT-Geräte nach den Grundsätzen des Security-by-Designs zu entwickeln und ab Werk verschiedene Schutzmechanismen gegen Exploits und Malware einzubauen.

Um eine Virus-Infektion oder Hacker-Attacke zu vermeiden, sollten Kamerabesitzer sicherstellen, dass die Kamera die neueste Firmware-Version verwendet und alle Patches installiert wurden. Es ist sinnvoll standardmäßig automatische Updates anzuschalten. Und wenn möglich, sollten IoT-Geräte, wie Kameras, nicht direkt dem Internet verbunden werden.