„Wir erleben einen Wettlauf zwischen den Experten auf der guten Seite und den Hackern auf der bösen Seite. Mit Berichten über Sicherheits-Schwachstellen, den Security-Advisories, die die Onekey Security Experten kontinuierlich erstellen, unterstützen wir Cybersecurity-Verantwortliche dabei entdeckte Sicherheitslücken umgehend zu schließen. So werden Hacker daran gehindert, die oft kritischen Schwachstellen auszunutzen“, sagt Jan Wendenburg, CEO von Onekey. Das Unternehmen betreibt eine Produkt-Cybersicherheitsplattform, die eine automatisierte Prüfung und Risikobewertung von vernetzten, intelligenten Produkten in wenigen Minuten ermöglicht – entsprechend den Vorgaben des zukünftigen europäischen Sicherheitsgesetzes, dem Cyber Resilience Act.
Seit Jahren arbeitet ein Team von Cybersecurity-Researcher bei Onekey daran, schwerwiegende Schwachstellen in vernetzten, intelligenten Geräten aufzudecken. Dabei werden die Hersteller der jeweiligen Produkte vertrauensvoll mit einbezogen. Vor jeder Veröffentlichung der Security-Advisories werden die Hersteller ausführlich informiert und erhalten ausreichend Zeit und Gelegenheit die aufgedeckten Schwachstellen vor einer Veröffentlichung zu schließen. Für eine Untersuchung nutzt das Team zunächst die Onekey Product Security Platform, die auch jeder Anwender selbst nutzen kann. Die Ergebnisse werden dann von den Security Experten vertieft untersucht und wenn erforderlich verifiziert. Davon profitiert auch die Plattform, die anschließend automatisiert ähnliche oder identische Sicherheitslücken findet und konkrete Ratschläge zu deren Behebung geben kann.
Live Hacking am 20. April in Frankfurt
Einer der Sicherheitsexperten, Quentin Kaiser, wird die Gefahren von unerkannten Schwachstellen im Rahmen einer Live-Hacking-Session auf der Sicherheitskonferenz Cybics 2023 am 20. April 2023 in Frankfurt demonstrieren. Die Veranstaltung mit dem Titel ‚Compliance, Sicherheit und Best Practices: der Cyber Resilience Act‘ findet zum siebten Mal statt und wird von der isits AG International School of IT Security gemeinsam mit führenden Industriepartnern organisiert.
Mehr als 60 Berichte über kritische Sicherheitslücken veröffentlicht
In den letzten Jahren unterstützte die Technologie des Unternehmens bereits bei der Entdeckung und Veröffentlichung von mehr als 60 Schwachstellen. Anfang Januar dieses Jahres wurde eine Zero-Day Schwachstelle in industriell genutzten Routersystemen von Wago entdeckt.
Aber auch die Werkzeuge die zu Sicherheitsanalysen eingesetzt werden sind nicht vor Schwachstellen gefeit – in diesem Zusammenhang konnte Onekey aufzeigen, dass mittels manipulierter Firmware Images eine kritische Path Traversal-Schwachstelle in ReFirm Labs (jetzt Microsoft) Binwalk ausgenutzt werden konnte, die das Ausführen beliebiger Befehle auf dem Arbeitsplatz des Sicherheitsanalysten erlaubt. Im Februar wurde bei einem Firmware-Check von industriell eingesetzten NetModule-Routern eine Schwachstelle in der Webverwaltungsschnittstelle aufgedeckt. Die Schwachstelle hätte es privilegierten Benutzern ermöglichen können, unerwünschte Befehle auszuführen oder auf kritische Daten zuzugreifen.
Im März entdeckte das Cybersecurity-Team eine weitere schwerwiegende Sicherheitslücke in der Webverwaltungsoberfläche der industriell genutzten Router des Herstellers Phoenix Contact. Die Schwachstellen ermöglichen es authentifizierten Nutzern, beliebige Befehle mit erhöhten Rechten auszuführen oder auf beliebige Dateien auf dem System zuzugreifen.
„Die zahlreichen Beispiele zeigen, dass Sicherheitslücken dieser Art keine Ausnahme sind und auch Geräte im industriellen Einsatz betreffen. Unser Ziel ist es daher, eng mit Herstellern und Anwendern zusammenzuarbeiten, um frühzeitig warnen zu können und den zuständigen Sicherheitsverantwortlichen die Chance zu geben, die Schwachstellen zu schließen – bevor sie von Hackern ausgenutzt werden“, erklärt Wendenburg weiter. Die eigene Product Security Platform und das eigene Team von White Hackern leistet daher einen wesentlichen Anteil zur weltweiten Absicherung von IoT-&OT-Netzwerken.
