Studie: Tausende eingebetteter Systeme ungeschützt im Netz

Obwohl schon seit mehreren Jahren immer wieder demonstriert wird, wie leicht sich eingebettete Webserver von Geräten wie Multifunktionsdruckern oder VoIP-Anlagen über das Web aufspüren lassen, sind immer noch etliche tausend Maschinen schutzlos.

Michael Sutton von ZScaler hat im Rahmen der derzeit stattfindenden RSA Conference einmal mehr demonstriert, wie viele Embedded Webserver sträflich leichtsinnig per Internet auch von außen zugänglich sind. Im Fall von Multifunktionsdruckern oder Videokonferenzsystemen führt dies zu ernsthaften Datenlecks: Die Drucker speichern Scan-, Fax- und Druckjobs auf Festplatten und geben die oft sensiblen Dokumente dann an jedermann frei. Videokonferenzhardware erlaubt eine Raumüberwachung aus der Ferne oder Lauschangriffe auf stattfindende Besprechungen.

Sutton hat sich zum Ziel gemacht, 1 Million Webserver zu scannen und alle gefundenen Embedded Webserver (EWS) zu katalogisieren. Er testete zunächst sowohl mit Nmap als auch mit der Google Hacking Datenbank (GHDB). Beides erwies sich als wenig zielführend, da Nmap zu wenige Fingerabdrücke der EWS erkennt und somit nutzlose Device-Informationen ausspuckt. Google wiederum lässt keine Suchanfragen per Skript zu, sodass manuelle, zeitaufwendige Scans nötig gewesen wären.

Der Sicherheitsforscher griff daher auf den Online-Scanner Shodan (www.shodanhq.com) zurück. Shodan hat Suttons Auskunft nach einer riesigen Datenbank mit HTTP-Header-Informationen von EWS und erlaubt daher ein zielsicheres Identifizieren der Geräte. Gefüttert wurde Shodan mit charakteristischen Zeichenketten aus den Webseiten der EWS. Um den Prozess zu automatisieren, griff Sutton auf ein Perl-Skript zurück, das per Shodan lediglich HEAD-Anfragen versandte. Gehostet wurde das Skript auf mehreren EC2-Micro-Instanzen in Amazons Cloud, die nur wenige US-Dollar gekostet haben sollen.

Ergebnis des Scans, der die angestrebte Million Webserver tatsächlich nach kurzer Zeit untersucht hatte: viele tausend Multifunktionsdrucker (über 3000 Canon-Modelle, 1200 Xerox-Kopierer, 20.000 Geräte von Ricoh und so weiter), 8000 Cisco-iOS-Geräte, die kein Passwort zum Login verlangen und beinahe 10.000 VoIP-Anlagen und -Telefone. Unter Letzteren waren auch 1100 Geräte des Berliner Herstellers Snom. Diese bieten ab Werk Funktionen zum Mitschneiden von Paketen und den PCAP-Trace. In Wireshark importiert, lässt sich Letzterer in eine Sounddatei des Telefonats umwandeln.

Der größte Teil der gefundenen Geräte war laut Sutton nicht durch Passwörter geschützt. Somit kann jeder beliebige Webnutzer per Browser auf die Web-Interfaces zugreifen und im Fall der Kopierer und Drucker die gespeicherten Dokumente einsehen, alle eingehenden Faxe an eine externe Nummer weiterleiten oder Scan-Aufträge mitschneiden. Im Fall von HP-Geräten ist dies möglich, indem ein Skript einmal pro Sekunde eine URL aufruft, deren einzige Variable die Epoch-Time und somit leicht zu erraten ist.

Über 9000 Videokonferenzsysteme von Polycom und Tandberg (heute Cisco) entdeckte Sutton während seines Scans. Der wahrscheinliche Grund, warum die Geräte offen im Netz standen: Sie setzen sämtlich auf das Protokoll H.323 und erfordern daher das Öffnen zahlreicher Ports in der Firewall. Michael Sutton vermutet, dass viele Administratoren davor zurückschrecken und die Systeme daher in die DMZ stellen. Per Video demonstrierte der IT-Sicherheitsexperte, wie er mittels einer zugänglichen Videokonferenzstation die betreffenden Räumlichkeiten in Bild und Ton überwachen konnte.

Sutton stellt mit brEWS einen kostenlosen Scanner bereit, der auf das Erkennen von EWS spezialisiert ist. Um bösartig gesinnten Zeitgenossen keine Waffe an die Hand zu geben, sind jeweils nur Scans in einem /24-Subnetz möglich. Um auch Untersuchungen in geschützten internen Netzwerken möglich zu machen, will Sutton in Zukunft noch ein Browser-Add-on anbieten, das den Scan übernimmt und die Ergebnisse dann zum Identifizieren an den brEWS-Server schickt.

(dab)