Wichtige Sicherheitsupdates für Embedded Linux und Android-Systeme, die OEMs nicht ignorieren können!

Im November 2021 entdeckten Cybersecurity-Forscher mehrere kritische Sicherheitslücken, die Android- und embedded Linux-Systeme betrafen. Google hat sein monatliches Sicherheitsupdate für Android veröffentlicht, aber Nutzer und Hersteller müssen bereit sein, das Betriebssystem zu patchen, damit Angreifer die Schwachstellen nicht ausnutzen können. Die im November entdeckten Schwachstellen bieten Angreifern mehrere schwerwiegende Möglichkeiten zur Ausnutzung, darunter Remote Code Execution (RCE), Denial of Service (DoS), eine Zero-Day-Schwachstelle, die als Use-after-free Memory Exploit beschrieben wird, und die Ausweitung der Kernel-Privilegien. Alle diese Probleme sind schwerwiegend, wenn sie nicht behoben werden, und Sie sollten schnell aktualisieren, um zu vermeiden, dass Sie das nächste Opfer werden.

Trotz des kritischen Risikos ignorieren viele Hersteller und Entwickler das Risiko und vermeiden den Aufwand, der mit Aktualisierungen verbunden ist. Das Patchen und Aktualisieren des Linux-Kernels erfordert Tests, da die Möglichkeit besteht, dass etwas schief gehen könnte, was zu Ausfallzeiten und potenziellen Katastrophen führen könnte. Um dies zu vermeiden, arbeiten wir bei L4B mit unseren Kunden zusammen, um ein reibungsloses Upgrade zu gewährleisten, so dass ihre Systeme sicher sind und die Ausfallzeit minimiert wird.

Veraltetes Android und neue, gefährliche CVEs

Android wird auf vielen Systemen von embedded eingesetzt, und einige OEMs verwenden weiterhin ältere Android-Versionen (Versionen 6 bis 8), weil sie stabil sind. Obwohl es stabil ist, lässt jeder Entwickler, der auf diesen alten Versionen von Android bleibt, seine Anwendung für zahlreiche kritische Schwachstellen offen. Dies macht das gesamte System zu einer tickenden Zeitbombe, die nur darauf wartet, dass der richtige Hacker eine bekannte Schwachstelle findet und ausnutzt. 

Google veröffentlicht häufig Patches, um Schwachstellen zu beheben. OEMs und Systemhersteller aktualisieren jedoch in der Regel erst nach einem langen Testverfahren. Tests sind zwar notwendig, aber sie lassen Angreifern die Möglichkeit, ungepatchte Linux-Kernel und Systeme mit bekannten Schwachstellen auszunutzen. Wenn die Schwachstelle einen Proof of Concept enthält, können Angreifer damit schnell Exploits erstellen, um ungepatchte Systeme zu finden.

Die auffälligste Schwachstelle in Googles neuester Version ist CVE-2021-1048, aber Google listet in seinem Android Security Bulletin noch mehrere andere auf. CVE-2021-1048 macht Systeme anfällig für zwei Schwachstellen: Write-what-where-Bedingungen und Use-after-free-Speichermanipulation. Beide können zur Offenlegung von zufälligem Speicher oder zur Remotecodeausführung führen, was ein kritisches Risiko darstellt, das nicht behoben werden sollte.

Mehrere andere Schwachstellen wurden mit dem letzten Sicherheitsupdate gepatcht, die alle schwerwiegende Folgen haben können, wenn ein embedded System auf älteren Versionen belassen wird. L4B Software bietet Ihnen reibungslose Update-Lösungen zur Sicherung und Stabilisierung Ihres Systems, wenn Sie kein Vertrauen in den Android-Upgrade-Prozess haben. Mit unserem automatischen BSP-Validierungslabor sorgen wir für sichere Artefakte und Betriebssystem-Images.

Die Aktualisierung des Linux-Kernels ist genauso wichtig wie das Patchen von Software von Drittanbietern

Die bemerkenswerteste Sicherheitslücke für Linux stammt von BusyBox, einem beliebten Unix-Dienstprogramm, das mehrere Applets enthält, die auf speicherprogrammierbaren Steuerungen (SPS), IoT-Geräten, Mensch-Maschine-Schnittstellen (HMI) und Remote-Terminal-Einheiten (RTU) verbreitet sind. Über diese Anwendung wurden im November 2021 mehrere Schwachstellen in embedded -Systemen entdeckt.

Die Forscher haben 14 Schwachstellen bekannt gegeben, die die Bereiche CVE-2021-42373 bis CVE-2021-42386 abdecken. Diese CVEs deuten darauf hin, dass alle das System anfällig für Denial-of-Service machen, aber 10 von ihnen könnten für die Remotecodeausführung ausgenutzt werden.

Die entdeckten BusyBox-Schwachstellen betreffen eine Vielzahl von Versionen, so dass jede OEM- oder Systemhersteller-Installation aktualisiert werden sollte. Die Forscher untersuchten eine Reihe von embedded System-Firmware und fanden heraus, dass 40 % der Systeme anfällig sind. Diese Entdeckung macht Millionen von Anwendungen und Umgebungen anfällig für kritische Datenverluste und Abstürze, und sie sollten aus Sicherheitsgründen sofort aktualisiert werden.

Obwohl die Ausnutzung dieser Schwachstellen besondere Bedingungen und einen ausgeklügelten Angriff erfordern würde, ist es dennoch riskant, ein System, das BusyBox verwendet, ungepatcht zu lassen. Es mag wie ein unnötiger Patch erscheinen, aber alle Entwickler und Hersteller sollten der Cybersicherheit und dem Schutz ihrer Systeme Priorität einräumen. Das Patchen von embedded -Systemen schützt Kunden und deren Daten, und eine nachlässige Überwachung kritischer Umgebungen hat das Potenzial für Markenschäden, Kundenverluste, Umsatzeinbußen und zukünftige Prozesskosten.

Genau wie bei Android-Systemen ist es verständlich, dass viele OEMs und Hersteller von medizinischen Geräten und Unterhaltungselektronik zögern, ein Upgrade sofort durchzuführen, bevor sie es testen. Tests sind immer notwendig, aber je länger Sie warten, desto größer ist das Zeitfenster für Angreifer. L4B Software kann mit Ihnen zusammenarbeiten, um sicherzustellen, dass Ihre Umgebung sicher ist und der Aktualisierungsprozess reibungslos und effizient abläuft.

Neuer Aufruf zum Handeln