ONEKEY Security-Experten decken regelmäßig massive Schwachstellen in kritischen IoT-& OT-Technologien auf
ONEKEY Security-Experten decken regelmäßig massive Schwachstellen in kritischen IoT- & OT-Technologien auf
Automatisierte Analyse und Expertenarbeit verbessern die Sicherheit von IoT- & OT-Geräten erheblich
Düsseldorf, 28. März 2023 – Sicherheitslücken in Software von vernetzten Produkten aller Art, insbesondere im Bereich IoT und industrieller Steuerungen, wie Router, Produktionsanlagen oder intelligenter Fertigung treten immer wieder auf. Nur durch rechtzeitige Information und Unterstützung bei der Behebung von Schwachstellen können Hersteller und Anwender verhindern, dass solche Sicherheitslücken ausgenutzt werden. Schwachstellen nicht zu beheben wäre grob fahrlässig – eine einmal bekannt gewordene Sicherheitslücke wird in der Regel oft sofort massiv von Hackern ausgenutzt. „Wir erleben einen Wettlauf zwischen den Experten auf der guten Seite und den Hackern auf der bösen Seite. Mit Berichten über Sicherheits-Schwachstellen, den Security-Advisories, die die ONEKEY Security Experten kontinuierlich erstellen, unterstützen wir Cybersecurity-Verantwortliche dabei entdeckte Sicherheitslücken umgehend zu schließen. So werden Hacker daran gehindert, die oft kritischen Schwachstellen auszunutzen“, sagt Jan Wendenburg, CEO von ONEKEY. Das Unternehmen betreibt eine Produkt Cybersicherheitsplattform, die eine automatisierte Prüfung und Risikobewertung von vernetzten, intelligenten Produkten in wenigen Minuten ermöglicht – entsprechend den Vorgaben des zukünftigen europäischen Sicherheitsgesetzes, dem Cyber Resilience Act.
ONEKEY als verantwortungsvoller Partner der Industrie
Seit Jahren arbeitet ein Team erfahrener Cybersecurity-Researcher bei ONEKEY daran, schwerwiegende Schwachstellen in vernetzten, intelligenten Geräten aufzudecken. Dabei werden die Hersteller der jeweiligen Produkte vertrauensvoll mit einbezogen. Vor jeder Veröffentlichung der Security-Advisories werden die Hersteller ausführlich informiert und erhalten ausreichend Zeit und Gelegenheit die aufgedeckten Schwachstellen vor einer Veröffentlichung zu schließen. Für eine Untersuchung nutzt das ONEKEY Expertenteam zunächst die ONEKEY Product Security Platform, die auch jeder Kunde selbst nutzen kann. Die Ergebnisse werden dann von den Security Experten vertieft untersucht und wenn erforderlich verifiziert. Davon profitiert auch die ONEKEY Plattform, die anschließend automatisiert ähnliche oder identische Sicherheitslücken findet und konkrete Ratschläge zu deren Behebung geben kann.
Live Hacking am 20.April in Frankfurt
Einer der ONEKEY Sicherheitsexperten, Quentin Kaiser, wird die Gefahren von unerkannten Schwachstellen im Rahmen einer Live-Hacking-Session auf der Sicherheitskonferenz CYBICS 2023 am 20. April 2023 in Frankfurt demonstrieren. Die Veranstaltung mit dem Titel „Compliance, Sicherheit und Best Practices: der Cyber Resilience Act“ findet zum siebten Mal statt und wird von der isits AG International School of IT Security gemeinsam mit führenden Industriepartnern organisiert.
Mehr als 60 Berichte über kritische Sicherheitslücken veröffentlicht
In den letzten Jahren unterstützte die ONEKEY Technologie bereits bei der Entdeckung und Veröffentlichung von mehr als 60 Schwachstellen. Anfang Januar dieses Jahres wurde eine Zero-Day Schwachstelle in industriell genutzten Routersystemen von WAGO entdeckt.
Aber auch die Werkzeuge die zu Sicherheitsanalysen eingesetzt werden sind nicht vor Schwachstellen gefeit – in diesem Zusammenhang konnten Sicherheitsexperten von ONEKEY aufzeigen, dass mittels manipulierter Firmware Images eine kritische Path Traversal-Schwachstelle in ReFirm Labs (jetzt Microsoft) binwalk ausgenutzt werden konnte, die das Ausführen beliebiger Befehle auf dem Arbeitsplatz des Sicherheitsanalysten erlaubt. Im Februar wurde bei einem Firmware-Check von industriell eingesetzten NetModule-Routern eine Schwachstelle in der Webverwaltungsschnittstelle aufgedeckt. Die Schwachstelle hätte es privilegierten Benutzern ermöglichen können, unerwünschte Befehle auszuführen oder auf kritische Daten zuzugreifen.
Im März entdeckte das ONEKEY Cybersecurity-Team eine weitere schwerwiegende Sicherheitslücke in der Webverwaltungsoberfläche der industriell genutzten Router des Herstellers Phoenix Contact. Die Schwachstellen ermöglichen es authentifizierten Nutzern, beliebige Befehle mit erhöhten Rechten auszuführen oder auf beliebige Dateien auf dem System zuzugreifen.
„Die zahlreichen Beispiele zeigen, dass Sicherheitslücken dieser Art keine Ausnahme sind und auch Geräte im industriellen Einsatz betreffen. Unser Ziel ist es daher, eng mit Herstellern und Anwendern zusammenzuarbeiten, um frühzeitig warnen zu können und den zuständigen Sicherheitsverantwortlichen die Chance zu geben, die Schwachstellen zu schließen – bevor sie von Hackern ausgenutzt werden“, erklärt weiter Jan Wendenburg, CEO ONEKEY. Die eigene Product Security Platform und das eigene Team von White Hackern leistet daher einen wesentlichen Anteil zur weltweiten Absicherung von IoT- & OT-Netzwerken.
Über ONEKEY:
ONEKEY ist ein führender europäischer Spezialist für Produkt Cybersicherheit. Die einzigartige Kombination aus Plattform für automatische Security- & Compliance-Softwareanalysen und Consulting Services von Cybersecurity Experten bietet schnelle, umfassende Analyse und Lösungen im Bereich IoT/OT Produkt Cybersicherheit. Über automatisch erstellte „Digital Twins“ und „Software Bill of Materials (SBOM)“ der Geräte analysiert ONEKEY eigenständig Firmware auf kritische Sicherheitslücken und Compliance Verstöße, ganz ohne Sourcecode, Geräte- oder Netzwerkzugriff. Schwachstellen für Angriffe und Sicherheitsrisiken werden in kürzester Zeit identifiziert und können so gezielt behoben werden. Die einfach zu integrierende Lösung ermöglicht für Hersteller, Inverkehrbringer und Nutzer von IoT-Technologie die schnelle und kontinuierliche 24/7 Sicherheits- und Compliance-Prüfung über den kompletten Produktlebenszyklus. International führende Unternehmen in Asien, Europa und Amerika profitieren heute bereits erfolgreich von der ONEKEY Plattform und Experten.
Weitere Informationen: ONEKEY GmbH, Sara Fortmann, E-Mail: sara.fortmann@onekey.com, Kaiserswerther Straße 45, 40477 Düsseldorf, Deutschland, Web: www.onekey.com
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
Comments are closed