MÜNCHEN (IT BOLTWISE) – Sicherheitsforscher haben schwerwiegende Schwachstellen in der Cloud-Management-Plattform von Ruijie Networks entdeckt, die potenziell 50.000 Geräte für Angriffe öffnen könnten.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Sicherheitsforscher haben kritische Schwachstellen in der Cloud-Management-Plattform von Ruijie Networks aufgedeckt, die es Angreifern ermöglichen könnten, die Kontrolle über Netzwerkanwendungen zu übernehmen. Diese Schwachstellen betreffen sowohl die Reyee-Plattform als auch die auf Reyee OS basierenden Netzwerkgeräte. Die Forscher von Claroty, Noam Moshe und Tomer Goldschmidt, erklärten in einer aktuellen Analyse, dass die Ausnutzung dieser Schwachstellen einem böswilligen Angreifer die Möglichkeit geben könnte, Code auf jedem cloudfähigen Gerät auszuführen und so die Kontrolle über zehntausende Geräte zu erlangen. Das Unternehmen für Sicherheit in der Betriebstechnologie (OT), das eine eingehende Untersuchung des IoT-Anbieters durchführte, identifizierte nicht nur zehn Schwachstellen, sondern entwickelte auch einen Angriff namens “Open Sesame”, der genutzt werden kann, um über die Cloud in einen Zugangspunkt in unmittelbarer Nähe einzudringen und unbefugten Zugang zu dessen Netzwerk zu erlangen. Von den zehn Schwachstellen wurden drei als kritisch eingestuft: CVE-2024-47547 mit einem CVSS-Score von 9,4 betrifft die Verwendung eines schwachen Passwort-Wiederherstellungsmechanismus, der die Authentifizierung für Brute-Force-Angriffe anfällig macht. CVE-2024-48874 mit einem CVSS-Score von 9,8 beschreibt eine Server-Side Request Forgery (SSRF)-Schwachstelle, die ausgenutzt werden könnte, um auf interne Dienste von Ruijie und deren interne Cloud-Infrastruktur über AWS-Cloud-Metadaten-Dienste zuzugreifen. CVE-2024-52324 mit einem CVSS-Score von 9,8 betrifft die Verwendung einer inhärent gefährlichen Funktion, die es einem Angreifer ermöglichen könnte, eine bösartige MQTT-Nachricht zu senden, die dazu führen könnte, dass Geräte beliebige Betriebssystembefehle ausführen. Die Forschung von Claroty ergab auch, dass es einfach ist, die MQTT-Authentifizierung zu umgehen, indem man einfach die Seriennummer des Geräts kennt (CVE-2024-45722, CVSS-Score: 7,5), und anschließend den Zugriff auf Ruijies MQTT-Broker ausnutzt, um eine vollständige Liste aller cloudverbundenen Geräte-Seriennummern zu erhalten. “Mit den geleakten Seriennummern konnten wir gültige Authentifizierungsdaten für alle cloudverbundenen Geräte generieren”, erklärten die Forscher. “Dies bedeutete, dass wir eine Vielzahl von Denial-of-Service-Angriffen durchführen konnten, einschließlich der Trennung von Geräten durch Authentifizierung in ihrem Namen und sogar das Senden gefälschter Nachrichten und Ereignisse an die Cloud; das Senden falscher Daten an die Benutzer dieser Geräte.” Das Wissen um die Seriennummer des Geräts könnte weiter genutzt werden, um auf alle MQTT-Nachrichtenwarteschlangen zuzugreifen und bösartige Befehle auszugeben, die dann auf allen cloudverbundenen Geräten ausgeführt würden (CVE-2024-52324). Das ist noch nicht alles. Ein Angreifer, der sich in unmittelbarer Nähe eines Wi-Fi-Netzwerks befindet, das Ruijie-Zugangspunkte verwendet, könnte auch die Seriennummer des Geräts extrahieren, indem er die Roh-Wi-Fi-Beacons abfängt, und dann die anderen Schwachstellen in der MQTT-Kommunikation nutzen, um Remote-Code-Ausführung zu erreichen. Der Open Sesame-Angriff wurde mit der CVE-Kennung CVE-2024-47146 (CVSS-Score: 7,5) versehen. Nach verantwortungsvoller Offenlegung wurden alle identifizierten Mängel von dem chinesischen Unternehmen in der Cloud behoben, und es sind keine Maßnahmen der Benutzer erforderlich. Schätzungsweise 50.000 cloudverbundene Geräte könnten von diesen Fehlern potenziell betroffen gewesen sein. “Dies ist ein weiteres Beispiel für Schwächen in sogenannten Internet-of-Things-Geräten wie drahtlosen Zugangspunkten, Routern und anderen verbundenen Dingen, die eine relativ niedrige Eintrittsbarriere auf das Gerät haben, aber viel tiefere Netzwerkangriffe ermöglichen”, sagten die Forscher. Die Offenlegung erfolgt, während das Sicherheitsunternehmen PCAutomotive 12 Schwachstellen in der MIB3-Infotainment-Einheit in bestimmten Skoda-Fahrzeugen meldete, die von böswilligen Akteuren miteinander verknüpft werden könnten, um Codeausführung zu erreichen, den Standort der Fahrzeuge in Echtzeit zu verfolgen, Gespräche über das In-Car-Mikrofon aufzuzeichnen, Screenshots des Infotainment-Displays zu machen und sogar Kontaktinformationen zu exfiltrieren.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "Sicherheitslücken in Ruijie Networks’ Cloud-Plattform gefährden Tausende Geräte".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Sicherheitslücken in Ruijie Networks’ Cloud-Plattform gefährden Tausende Geräte" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Sicherheitslücken in Ruijie Networks’ Cloud-Plattform gefährden Tausende Geräte" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.