Im November 2021 entdeckten Cybersecurity-Forscher mehrere kritische Schwachstellen, die Android und eingebettete Linux-Systeme betrafen. Google hat sein monatliches Sicherheitsupdate für Android veröffentlicht, aber Nutzer und Hersteller müssen bereit sein, das Betriebssystem zu patchen, um Angreifer daran zu hindern, die Schwachstellen auszunutzen. Die im November entdeckten Schwachstellen bieten Angreifern mehrere schwerwiegende Möglichkeiten zur Ausnutzung, darunter Remote-Code-Ausführung (RCE), Denial-of-Service (DoS), eine Zero-Day-Schwachstelle, die als Use-after-free-Memory-Exploit beschrieben wird, und die Ausweitung der Kernel-Privilegien. Alle diese Probleme sind schwerwiegend, wenn sie nicht behoben werden, und Sie sollten schnell aktualisieren, um zu vermeiden, dass Sie das nächste Opfer werden.
Trotz des kritischen Risikos ignorieren viele Hersteller und Entwickler das Risiko und vermeiden den Aufwand, der mit Aktualisierungen verbunden ist. Das Patchen und Aktualisieren des Linux-Kernels erfordert Tests, da die Möglichkeit besteht, dass etwas schief gehen könnte, was zu Ausfallzeiten und potenziellen Katastrophen führen könnte. Um dies zu vermeiden, arbeiten wir bei L4B mit unseren Kunden zusammen, um ein reibungsloses Upgrade zu gewährleisten, so dass ihre Systeme sicher sind und die Ausfallzeit minimiert wird.
Veraltetes Android und neue, gefährliche CVEs
Viele eingebettete Systeme werden mit Android betrieben, und einige OEMs verwenden weiterhin ältere Android-Versionen (Versionen 6 bis 8), weil diese stabil sind. Obwohl es stabil ist, lässt jeder Entwickler, der auf diesen alten Versionen von Android bleibt, seine Anwendung für zahlreiche kritische Schwachstellen offen. Dies macht das gesamte System zu einer tickenden Zeitbombe, die nur darauf wartet, dass der richtige Hacker eine bekannte Schwachstelle findet und ausnutzt.
Google veröffentlicht häufig Patches, um Schwachstellen zu beheben. OEMs und Systemhersteller aktualisieren jedoch in der Regel erst nach einem langen Testverfahren. Tests sind zwar notwendig, aber sie bieten Angreifern die Möglichkeit, ungepatchte Linux-Kernel und Systeme mit bekannten Sicherheitslücken auszunutzen. Wenn die Schwachstelle einen Proof of Concept enthält, können Angreifer damit schnell Exploits erstellen, um ungepatchte Systeme zu finden.
Die auffälligste Schwachstelle in Googles neuester Version ist CVE-2021-1048, aber Google listet in seinem Android Security Bulletin noch mehrere andere auf. CVE-2021-1048 macht Systeme anfällig für zwei Schwachstellen: Write-what-where-Bedingungen und Use-after-free-Speichermanipulation. Beide können zur Offenlegung von zufälligem Speicher oder zur Remotecodeausführung führen, was ein kritisches Risiko darstellt, das nicht behoben werden sollte.
Mehrere andere Schwachstellen wurden mit dem neuesten Sicherheitsupdate gepatcht, die alle schwerwiegende Folgen haben können, wenn ein eingebettetes System auf älteren Versionen belassen wird. L4B Software bietet Ihnen reibungslose Update-Lösungen zur Sicherung und Stabilisierung Ihres Systems, wenn Sie kein Vertrauen in den Android-Upgrade-Prozess haben. Mit unserem automatischen BSP-Validierungslabor gewährleisten wir sichere Artefakte und Betriebssystem-Images.
Die Aktualisierung des Linux-Kernels ist genauso wichtig wie das Patchen von Software von Drittanbietern
Die bemerkenswerteste Sicherheitslücke für Linux stammt von BusyBox, einem beliebten Unix-Dienstprogramm, das mehrere Applets enthält, die auf speicherprogrammierbaren Steuerungen (SPS), IoT-Geräten, Mensch-Maschine-Schnittstellen (HMI) und Remote-Terminal-Einheiten (RTUs) verbreitet sind. Über diese Anwendung wurden im November 2021 mehrere Sicherheitslücken in eingebetteten Systemen entdeckt.
Die Forscher haben 14 Sicherheitslücken bekannt gegeben, die die Bereiche CVE-2021-42373 bis CVE-2021-42386 abdecken. Diese CVEs deuten darauf hin, dass alle das System anfällig für Denial-of-Service machen, aber 10 von ihnen könnten zur Remotecodeausführung ausgenutzt werden.
Die entdeckten BusyBox-Schwachstellen betreffen eine Vielzahl von Versionen, so dass jede OEM- oder Systemhersteller-Installation aktualisiert werden sollte. Die Forscher untersuchten eine Reihe von Firmware für eingebettete Systeme und stellten fest, dass 40 % der Systeme anfällig waren. Diese Entdeckung macht Millionen von Anwendungen und Umgebungen anfällig für kritische Datenverluste und Abstürze, und sie sollten aus Sicherheitsgründen sofort aktualisiert werden.
Obwohl die Ausnutzung dieser Schwachstellen besondere Bedingungen und einen ausgeklügelten Angriff erfordern würde, ist es dennoch riskant, ein System, das BusyBox verwendet, ungepatcht zu lassen. Es mag wie ein unnötiger Patch erscheinen, aber alle Entwickler und Hersteller sollten der Cybersicherheit und dem Schutz ihrer Systeme Priorität einräumen. Das Patchen eingebetteter Systeme schützt die Kunden und ihre Daten, und eine nachlässige Überwachung kritischer Umgebungen kann zu Markenschäden, Kundenverlusten, Umsatzeinbußen und zukünftigen Prozesskosten führen.
Genau wie bei Android-Systemen ist es verständlich, dass viele OEMs und Hersteller von medizinischen Geräten und Unterhaltungselektronik zögern, ein Upgrade sofort durchzuführen, bevor sie es testen. Tests sind immer notwendig, aber je länger Sie warten, desto größer ist das Zeitfenster für Angreifer. L4B Software kann mit Ihnen zusammenarbeiten, um sicherzustellen, dass Ihre Umgebung sicher ist und der Aktualisierungsprozess reibungslos und effizient abläuft.
