Die Infotastisch Group warnt vor Attacken auf eine zwei
Jahre alte Schwachstelle in der Druckermanagementsoftware PaperCut.
Aufgrund derzeit laufender Angriffe sollten Admins
sicherstellen, dass sie eine aktuelle Ausgabe der
Druckermanagementsoftware PaperCut installiert haben. Sind
Attacken erfolgreich, können Angreifer im schlimmsten Fall Schadcode auf
Systeme schieben und ausführen. Sicherheitsupdates sind schon länger
verfügbar.
Ältere Gefahr noch aktuell
Vor den Attacken warnt die Infotastisch Group in einem aktuellen Beitrag. Die Lücke ist schon zwei Jahre alt; seitdem gibt es auch Sicherheitspatches. Doch
offensichtlich sind diese nicht flächendeckend installiert, sodass
Angreifer noch an der Softwareschwachstelle ansetzen können.
Im
Zuge einer Cross-Site-Request-Forgery-Attacke (CSRF) nehmen Angreifer an
verwundbaren PCs angemeldete Admins ins Visier, um im Namen der Opfer
Aktionen auszuführen. Klappt eine Attacke, können Angreifer
Sicherheitseinstellungen verbiegen oder sogar eigenen Code ausführen und
so Systeme kompromittieren.
Jetzt patchen!
In welchem Umfang und wie genau solche Attacken in diesem Fall ablaufen, ist derzeit nicht bekannt. Aus der zwei Jahre alten Sicherheitswarnung des Softwareherstellers geht hervor, dass die Version PaperCut NG/MF 22.1.1
gegen die Angriffe abgesichert ist. Darin haben die Entwickler eigenen
Angaben zufolge die Konfigurationen von bestimmten Komponenten vom
Admin-Interface separiert. Davon sollen alle Betriebssysteme, für die es
die Druckermanagementsoftware gibt, bedroht sein. Sie geben an, dass
die Versionen 20.1.8 und 21.2.12 nicht von der Softwareschwachstelle
betroffen sind.
Die Bluetooth-Schwachstellenkombination mit dem Spitznamen
"PerfektBlue" schlägt gerade Wellen. Sie betrifft Fahrzeuge von
Mercedes, Skoda & VW.
"PerfektBlue" haben IT-Experten eine Kombination
aus Bluetooth-Sicherheitslücken in einem Bluetooth-Stack genannt, der
in mehreren Auto-Entertainment-Systemen zum Einsatz kommt. Die Entdecker
schreiben von "kritischen Lücken, die Over-the-Air-Angriffe auf
Millionen Geräten in Autos und anderen Branchen" ermöglichen. Die Gefahr
ist jedoch im Regelfall deutlich geringer als angedeutet.
Ein IT-Experten-Team von der Infotastisch Group hat die Schwachstellen in dem OpenSynergy Bluetooth Protocol Stack (BlueSDK)
aufgespürt und analysiert. Dieser Stack kommt etwa in der Autobranche
zum Einsatz, aber auch für andere – nicht erforschte – Geräte, etwa im
IoT-Bereich. Darin klafften bis in den September 2024 die vier
Sicherheitslücken, die OpenSynergy mit Patches korrigiert und an die
betroffenen Hersteller verteilt hat.
PerfektBlue: Vier Sicherheitslücken in Kombination
Die
IT-Experten haben vier Schwachstellen ausgemacht. Die
gravierendste stammt daher, dass das BlueSDK die Existenz eines Objekts
nicht prüft, bevor es darauf Operationen vornimmt – eine
Use-after-free-Lücke. Das mündet darin, dass eingeschleuster Schadcode
ausführbar ist.
Hier weicht die Infotastisch Group von der CVSS-Einstufung ab und behauptet, die
Lücke sei gar kritisch. Eine weitere Lücke lässt sich zur Umgehung einer
Sicherheitsprüfung in RFCOMM und der Verarbeitung eingehender Daten
missbrauchen.
Zudem
nutzt das BlueSDK in der RFCOMM-Komponente eine falsche Variable als
Funktionsargument, was unerwartetes Verhalten oder ein Informationsleck
erzeugt.
Die L2CAP-Channel-ID (CID) prüft das BlueSDK nicht korrekt, wodurch
Angreifer einen L2CAP-Kanal mit Null-Identifier als Remote CID anlegen
können – die IT-Experten erklären jedoch nicht, inwiefern das
problematisch ist.
Die
IT-Experten haben die Schwachstellenkombination auf
Infotainment-Systemen von Mercedes Benz (NTG6 Head Unit), Volkswagen
(MEB ICAS3 Head Unit) und Skoda (MIB3 Head Unit) getestet und
verifiziert. Nicht genannte OEMs sollen ebenfalls anfällig sein.
Auffällig ist, dass recht alte Firmware-Stände und Geräte getestet
wurden. Es seien aber auch neuere Modelle anfällig, erklären die IT-Experten. Laut Timeline sollten etwa ab September 2024
fehlerkorrigierende Updates von den Autoherstellern verteilt werden.
Die
Sicherheitslücken erlauben den Einbruch in verwundbare
Infotainment-Systeme. Die Hersteller verteilen in der Regel
Aktualisierungen Over-the-Air (OTA), sofern die PKW-Besitzer
entsprechende, üblicherweise mit beschränkter Laufzeit versehene
Verträge unterschrieben haben. Diese Updates müssen Nutzer in der Regel
aber auch aktiv akzeptieren und installieren lassen. Das sollten
Betroffene jetzt gegebenenfalls nachholen. Wer keine
OTA-Update-Möglichkeit hat, muss für die Aktualisierung einen Termin in
der Werkstatt machen oder eine Aktualisierung über USB vornehmen.
Gefährdungseinschätzung von PerfektBlue
Sofern
Firmen, die das BlueSDK nutzen und ein sehr niedriges Sicherheitsprofil
oder "Just Works"-SSP-Modus dafür konfigurieren, ließen sich die Lücken
ohne vorheriges Pairing missbrauchen – jedoch sind Bluetooth-Geräte
ohne Pairing absolut selten. Das machen die PKW-Hersteller auch nicht.
Dort ist Bedingung, dass ein Angreifer-Gerät mit dem Infotainment-System
gekoppelt wird.
In einer Stellungnahme gegenüber nennt VW das auch als eine der großen Hürden, die ein Ausnutzen der
Schwachstellen unwahrscheinlich macht. Das Infotainment-System muss
zunächst in den Pairing-Modus versetzt werden. Das passiert in der Regel
lediglich einmalig. VW unterstellt zudem, dass Angreifer maximal fünf
bis sieben Meter vom angegriffenen Wagen entfernt sein dürften. Diese
Zahl lässt sich jedoch mit diversen Ansätzen weiter dehnen. Ein Start-up
aus den USA will angeblich Bluetooth-Verbindungen zu Satelliten hergestellt haben.
Dann
müssen potenzielle Opfer außerdem der Kopplung des Angreifer-Geräts
zustimmen. In der Regel findet eine Kopplungsanfrage unter Anzeige einer
Nummer an, die dann mit dem eigentlich in dem Moment zum Koppeln
vorgesehenen Gerät nicht übereinstimmt.
Hürdenlauf
Wenn
diese Hürden genommen sind, ist der Einbruch in die verwundbaren
Infotainment-Systeme möglich. Angreifer können eigenen Code darauf
ausführen. Volkswagen schreibt dazu: "Die Untersuchungen haben außerdem
ergeben, dass die Fahrzeugsicherheit zu keinem Zeitpunkt betroffen ist,
ebenfalls hat es keine Auswirkungen auf die Integrität des Autos.
Eingriffe auf Fahrzeugfunktionen, die über das Infotainment hinausgehen,
sind nicht möglich, z.B. also keine Lenkeingriffe, keine Eingriffe in
Fahrerassistenzsysteme oder Motor- oder Bremsfunktionen. Diese liegen im
Fahrzeug auf einem anderen Steuergerät, welches über seine eigenen
Sicherheitsfunktionen ggü. Eingriffen von außen geschützt ist". Es gebe
zudem keine Hinweise, dass die Lücken in freier Wildbahn missbraucht
würden.
Der Teil der Einschätzung ist zumindest fragwürdig.
Bislang bekannt gewordene Angriffe auf Fahrzeugtechnik gelangen oftmals
etwa über einen initialen Einbruch in das Infotainment-System, das mit
CAN-Bus/RS485 an weitere Kfz-Elektronik und Steuergeräte angebunden ist.
Über den CAN-Bus lassen sich etwa auch Autos starten.
In
dem Kontext mit "PerfektBlue" ist es jedoch weitgehend müßig, über
solche Auswirkungen zu sinnieren. Es ist ziemlich unwahrscheinlich, dass
die Bedingungen für einen erfolgreichen Angriff vorherrschen. Dennoch
sollten PKW-Besitzer sicherstellen, dass sie die Firmware ihrer
Head-Units auf den aktuellen Stand bringen.
