- Anzeigen -


Sie sind hier: Home » Virenwarnung » Sicherheitslecks

Offene und ungeschützte MQTT-Server


Neue Sicherheitslücke bedroht Daten von 32.000 Smart Homes und Unternehmen
Cyberkriminelle missbrauchen MQTT-Server, um Smart Homes zu hacken

- Anzeigen -





Avast hat entdeckt, dass über 49.000 Message Queuing Telemetry Transport (MQTT) Server aufgrund eines falsch konfigurierten MQTT-Protokolls online öffentlich sichtbar sind. Darunter befinden sich 32.000 Server ohne Passwortschutz – davon 1.719 in Deutschland – wodurch die Gefahr eines Datenmissbrauchs steigt. MQTT-Protokolle werden genutzt, um Smart-Home-Geräte über Smart Hubs miteinander zu verbinden und zu steuern. Beim Implementieren des MQTT-Protokolls richten Nutzer einen Server ein. Dieser Server befindet sich bei Endverbrauchern üblicherweise auf einem PC oder einem Mini-Computer wie dem Raspberry Pi, mit dem sich Geräte verbinden und damit kommunizieren können.

Während das MQTT-Protokoll selbst sicher ist, können gravierende Sicherheitsprobleme entstehen, wenn MQTT falsch eingerichtet oder konfiguriert wird. Hacker und Cyberkriminelle können sich Zugang zum Heimnetzwerk verschaffen und beispielsweise herausfinden, wann die Bewohner zuhause sind. Sie können auch Entertainment-Systeme, digitale Sprachassistenten sowie Haushaltsgeräte manipulieren und in Erfahrung bringen, ob vernetzte Türen und Fenster offen oder geschlossen sind. Unter bestimmten Voraussetzungen haben Cyberkriminelle sogar die Möglichkeit, Positionsdaten von Nutzern zu ermitteln und zu tracken. Dies ist eine ernsthafte Bedrohung für deren Privatsphäre und Sicherheit.

"Es ist beängstigend einfach, Zugang und Kontrolle über ein fremdes Smart Home zu erlangen. Schließlich gibt es immer noch viele unzureichend gesicherte Protokolle aus Zeiten, in denen das Thema digitale Sicherheit noch nicht besonders relevant war," erklärt Martin Hron, Sicherheitsforscher bei Avast. "Die Verbraucher müssen sich der Sicherheitsrisiken bewusst sein, wenn sie digitale Geräte mit dem Internet verbinden, deren Einstellungen sie nicht vollständig verstehen – und sicherstellen, diese Geräte auch richtig zu konfigurieren."

Martin Hron zeigt fünf Wege auf, wie schlecht konfigurierte MQTT-Server von Hackern missbraucht werden können:

Offene und ungeschützte MQTT-Server sind mit der IoT-Suchmaschine Shodan einfach zu finden. Sobald diese sich mit den Servern verbinden, können Hacker über das MQTT-Protokoll übermittelte Nachrichten mitlesen. Die Ergebnisse von Avast zeigen, dass sich Hacker beispielsweise Zugriff auf den Status von smarten Fenstern und Türen verschaffen – oder sehen können, ob Lichter ein- oder ausgeschaltet sind. In diesem speziellen Fall hat Avast auch festgestellt, dass Unbefugte vernetzte Geräte kontrollieren oder zumindest über das MQTT-Protokoll gesendete Daten in ihrem Sinne verändern konnten. Auf diese Weise könnte ein Angreifer beispielsweise Nachrichten an den Hub senden, um das Garagentor zu öffnen.

Avast hat festgestellt, dass Smart Homes selbst bei einem geschützten MQTT-Server gehackt werden können, wenn das Dashboard zur Steuerung des Control Panels eines Smart Home die gleiche IP-Adresse verwendet wie der MQTT-Server. Nutzer ändern selten die Standardkonfigurationen ihrer Smart-Home-Hub-Software – allerdings sind diese oft nicht passwortgeschützt. Hacker haben damit vollständigen Zugriff auf das Dashboard eines Smart Homes und können so jedes über das Dashboard angeschlossene Gerät fernsteuern.

Avast fand heraus, dass selbst bei geschütztem MQTT-Server und Dashboard im Falle von Smart Hub Software, Home Assistant Software, offene und unsichere SMB-Freigaben öffentlich und somit für Hacker zugänglich sind. SMB ist ein Protokoll zum Austausch von Dateien über interne Netzwerke und wird hauptsächlich auf Windows-Plattformen angewendet. Avast fand öffentlich freigegebene Verzeichnisse mit allen Home-Assistant-Daten einschließlich Konfigurationsdateien. In den betroffenen Dateien hat Avast ein Dokument gefunden, in dem Passwörter und Zugangsdaten im Klartext gespeichert waren.

Mit den in der Konfigurationsdatei gespeicherten Passwörtern könnten Hacker so die vollständige Kontrolle über das Zuhause einer Person erlangen.
Eigentümer eines Smart Homes können mittels Tools und Apps ein MQTT-basiertes Dashboard für ihr Smart Home erstellen, um damit ihre vernetzten Endgeräte zu steuern. Mit der Anwendung MQTT Dash können Nutzer ihr eigenes Dashboard und einen Control Panel erstellen und damit vernetzte Geräte mittels MQTT steuern. Nutzer können die über das Dashboard vorgenommenen Einstellungen auf dem MQTT-Server veröffentlichen, um sie auf beliebig vielen Geräten zu replizieren. Wenn der verwendete MQTT-Server unsicher ist, kann ein Hacker leicht auf das Dashboard des Nutzers zugreifen und so das Smart Home hacken.

Avast hat außerdem herausgefunden, dass Hacker mit MQTT in bestimmten Fällen den Standort der Anwender nachverfolgen können, da sich MQTT-Server in der Regel auf Echtzeitdaten konzentrieren. Viele MQTT-Server sind mit einer mobilen Anwendung namens OwnTracks verbunden. Mit OwnTracks können Nutzer ihren Standort mit anderen teilen. Die Anwendung kann aber auch von Smart-Home-Besitzern genutzt werden, damit die Smart-Home-Geräte wissen, wenn sich der Nutzer dem Haus nähert.

Damit ist es z. B. möglich, vernetzte Geräte wie smarte Leuchtmittel zu aktivieren. Um die Tracking-Funktion zu nutzen, müssen die Nutzer die Anwendung zunächst konfigurieren. Dazu müssen sie eine Verbindung zu einem MQTT-Server herstellen und diesen mit dem Internet verbinden. Für diese Verbindung müssen die Nutzer keine Anmeldeinformationen eingeben, d. h. jeder kann sich mit dem MQTT-Server verbinden. Hacker können dadurch Informationen nachverfolgen, die den Batteriestand eines Geräts, den Standort unter Verwendung von Breiten-, Längen- und Höhenpunkten sowie den Zeitstempel für die Position enthalten. (Avast: ra)

eingetragen: 10.09.18
Newsletterlauf: 16.10.18

Avast Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Sicherheitslecks

  • Neue Technik findet Sicherheitslücke

    Als Forscher 2018 die Sicherheitslücken Meltdown und Spectre bei bestimmten Prozessoren entdeckten, waren vor allem Chiphersteller von High-end-Prozessoren wie Intel betroffen. Zunutze gemacht hatten sie sich hier sogenannte Seitenkanäle der Hardware, mit denen sie an Daten gelangt sind. Dass es ähnliche Lücken auch bei anderen Prozessoren gibt, haben nun Forscher aus Kaiserslautern und Stanford gemeinsam erstmals gezeigt. Diese Prozessoren spielen etwa in sicherheitsrelevanten Bereichen von eingebetteten Systemen eine Rolle, zum Beispiel beim Autonomen Fahren. Abhilfe schafft ein Verfahren, das die Forscher entwickelt haben. Es spürt die Lücken schon beim Entwickeln der Hardware auf.

  • Sicherung industrieller Steuerungssysteme

    Die Experten von Kaspersky Lab haben in der IoT-Plattform "ThingsPro Suite" sieben neue, bisher unbekannte Schwachstellen (Zero Day) entdeckt und geholfen, diese zu schließen. Die im industriellen Umfeld eingesetzte Lösung ermöglicht die Datenerfassung und Remote-Analyse industrieller Kontrollsysteme (ICS, Industrial Control Systems). Einige der identifizierten Sicherheitslücken hätten Cyberangreifern die Möglichkeit eröffnet, umfassend auf industriell genutzte IoT-Gateways zuzugreifen und für Arbeits- und Produktionsabläufe folgenschwere Befehle auszuführen. Alle identifizierten Schwachstellen sind inzwischen von Moxa, dem Entwickler der Plattform, behoben worden.

  • Open Source-Software: Sicher für Unternehmen?

    Das Secure Copy Protocol (SCP) ist ein Protokol zur verschlüsselten Datenübertragung und soll so mehr für Sicherheit tragen. Nun hat eine neue Studie ergeben, dass mehrere Schwachstellen in verschiedenen SCP-Anwendungen gefunden wurden und zeigt, dass SCP möglicherweise nicht so sicher ist, wie man denkt. Die von Harry Sintonen, Senior Security Consultant bei F-Secure, durchgeführte Studie identifizierte Schwachstellen in den Anwendungen WinSCP, Putty PSCP und OpenSSH. Harry Sintonen erstellte einen Proof-of-Concept für den Angriff, mit dem er Dateien im SCP-Zielverzeichnis des Clients unbemerkt schreiben/überschreiben, die Berechtigungen des Verzeichnisses ändern und die Ausgabe des Clients manipulieren kann. Ein Angreifer kann die Schwachstellen ausnutzen, um eine Hintertür oder andere Malware in ein Unternehmensnetzwerk zu installieren, vertrauliche Informationen zu stehlen oder praktisch jede andere Aktion nach der Infiltration durch zu führen.

  • Geleakte Produktionsdaten identifizieren

    Trend Micro warnt Unternehmen vor möglichen Sicherheitslücken in ihrer Betriebstechnologie (Operational Technology, OT). Forscher des japanischen IT-Sicherheitsanbieters entdeckten massive Schwachstellen und gefährdete Anwendungen von zwei weit verbreiteten Protokollen für die Machine-to-Machine-Kommunikation (M2M-Kommunikation). Betroffen sind die Protokolle Message Queuing Telemetry Transport (MQTT) und Constrained Application Protocol (CoAP). Sie werden in einem neuen Forschungsbericht, The Fragility of Industrial IoT's Data Backbone, beschrieben, der in Zusammenarbeit mit der Polytechnischen Universität Mailand entstand. Darin weisen die Forscher auch auf die wachsende Bedrohung durch den Missbrauch dieser Protokolle für Zwecke der Industriespionage, Denial-of-Service-Attacken und zielgerichtete Angriffe hin.

  • Kontrolle über ein betroffenes System

    Microsoft gönnt allen IT-Verantwortlichen im Oktober eine kleine Verschnaufpause - zumindest, was die aktuellen Updates anbetrifft. Zum Patch Tuesday vermeldet Redmond gerade einmal einen Zero Day Exploit und eine Schwachstelle, die öffentlich bekannt gegeben wurde. Und was noch erstaunlicher ist: Es gab in diesem Monat kein einziges Sicherheitsupdate für Adobe Flash. Die Zero-Day-Schwachstelle CVE-2018-8453 findet sich in der Win32-Komponente des Microsoft-Betriebssystems, bei der Objekte im Arbeitsspeicher nicht ordnungsgemäß behandelt werden. Ein Angreifer muss sich zunächst am Betriebssystem anmelden, kann dann aber diese Schwachstelle ausnutzen, um Code im Kernel auszuführen und Administratorrechte zu erhalten. Diese Schwachstelle hat einen Basis-CVSS-Wert von 7. Unglücklicherweise ist sie in allen Betriebssystemen mit Updates vorhanden - angefangen von Server 2008 bis hin zu Windows 10.