Die zunehmende Vernetzung von Geräten durch das Internet der Dinge (IoT) bringt zahlreiche Vorteile, aber auch erhebliche Sicherheitsrisiken mit sich. Insbesondere ältere und nicht mehr unterstützte IoT-Geräte werden zunehmend zum Ziel von Cyberkriminellen, die ihre ungesicherten Systeme ausnutzen, um schädliche Aktivitäten wie Distributed Denial of Service (DDoS)-Attacken durchzuführen. Aktuelle Berichte zeigen, dass Hacker gezielt Sicherheitslücken in Samsung MagicINFO und GeoVision IoT-Produkten ausnutzen, um das berüchtigte Mirai-Botnet zu verbreiten. Diese Angriffe haben sowohl technische als auch sicherheitspolitische Relevanz und werfen ein Licht auf die Probleme veralteter Systeme im cybersicherheitskritischen Umfeld. Samsung MagicINFO ist eine weit verbreitete digitale Signage-Management-Software, die in zahlreichen Unternehmen und Einrichtungen zum Einsatz kommt, um Inhalte auf Displays zu steuern und zu verwalten.
Trotz regelmäßiger Updates hat sich kürzlich gezeigt, dass eine oder mehrere bisher unbekannte Schwachstellen es Angreifern ermöglichen, in die Systeme einzudringen und bösartige Software auszuführen. Insbesondere berichten Sicherheitsexperten von einem neuen Exploit, der es Angreifern ohne jegliche Authentifizierung gestattet, beliebige Dateien mit Systemberechtigungen hochzuladen und auszuführen. Solche Sicherheitslücken bieten eine Einstiegsmöglichkeit für die Verbreitung des Mirai-Botnets, einem bekannten Schadprogramm, das kompromittierte Geräte zu einem mächtigen Netzwerk für Cyberangriffe zusammenfasst. Die Analyse von Sicherheitsforschern und Meldungen von Firmen wie Arctic Wolf und Huntress haben bestätigt, dass sogar die neuesten Versionen von Samsung MagicINFO 9 betroffen sind. Das bedeutet, dass selbst Unternehmen, die kürzlich Updates installiert haben, einer potenziellen Gefährdung ausgesetzt sind.
Die bislang verfügbaren Patches reichen offenbar nicht aus, um die neuen Exploits zu schließen, was die Dringlichkeit erhöht, potenziell betroffene Dienste vom öffentlichen Internet zu trennen und alternative Sicherheitsmaßnahmen zu ergreifen. Das Problem verdeutlicht die Herausforderungen, die Software-Hersteller haben, wenn es darum geht, Sicherheitslücken schnell und umfassend zu beheben, insbesondere in komplexen Anwendungen wie Content-Management-Systemen. Parallel zu den Angriffen auf Samsung MagicINFO sind auch ältere GeoVision IoT-Geräte ins Visier von Hackern geraten. Diese Geräte, die häufig in Überwachungssystemen eingesetzt werden, gelten als veraltet oder am Ende ihres Lebenszyklus (End-of-Life, EoL) und erhalten dementsprechend keine Sicherheitsupdates mehr. Die Schwachstellen CVE-2024-6047 und CVE-2024-11120 wurden bereits als kritisch mit einem maximalen CVSS-Wert von 9,8 eingestuft.
Sie ermöglichen es Angreifern, via Betriebssystem-Kommando-Injektion beliebigen Code auszuführen, indem sie Zielparameter in Webservice-Endpoints manipulieren. Über den /DateSetting.cgi Endpoint etwa können Angreifer Befehle einschleusen, die dann das Mirai-Malware-Programm herunterladen und starten. Die Folgen einer solchen Infektion sind weitreichend: Ehemals isolierte IoT-Geräte wandeln sich zu Teilnehmern eines Botnetzes, das sogenannte Mirai-Botnet, und werden dazu genutzt, zielgerichtete DDoS-Attacken auf Websites, Dienstleistungen oder gar die Infrastruktur von Unternehmen und Organisationen durchzuführen. Diese Angriffe können massive Ausfälle und finanzielle Verluste nach sich ziehen.
Zudem bedient sich das Mirai-Botnet vor allem der Schwächen in der Firmware alter oder ausgelaufener Hardware, was die Frage nach der Verantwortung der Hersteller und dem Umgang mit abgekündigten Produkten aufwirft. Die US-Cybersicherheitsbehörde Cybersecurity and Infrastructure Security Agency (CISA) hat die beiden identifizierten GeoVision-Schwachstellen nun in ihre Liste der bekannten ausgenutzten Sicherheitslücken (Known Exploited Vulnerabilities, KEV) aufgenommen. Durch diese Einordnung sind Organisationen, insbesondere staatliche Stellen, verpflichtet, entsprechende Sicherheitsmaßnahmen zu ergreifen oder die betroffenen Geräte außer Betrieb zu nehmen. Das Ziel ist, das Risiko von Kompromittierungen zu minimieren und die Auswirkungen der Mirai-Infektionen einzudämmen. Neben den spezifischen technischen Angriffspunkten verdeutlichen diese Vorfälle ein generelles Problem in der IoT-Welt.
Viele Geräte, die heute noch im Einsatz sind, verfügen über veraltete Betriebssysteme und werden von ihren Herstellern vielfach nicht mehr mit Sicherheitspatches versorgt. Das trifft teilweise auf Hersteller zu, die inzwischen vom Markt verschwunden sind oder deren Produktlinien eingestellt wurden. Ein solcher Zustand ohne adäquate Sicherheitsupdates schafft eine ideale Angriffsfläche für Cyberkriminelle. Die Hersteller von IoT-Hardware und Software stehen daher zunehmend unter Druck, nicht nur während des Produktlebenszyklus, sondern auch darüber hinaus für Sicherheit zu sorgen. Unternehmen und Anwender, die Samsung MagicINFO oder GeoVision IoT-Geräte nutzen, sollten dringend ihre Systeme auf potenzielle Anzeichen einer Kompromittierung überprüfen und umgehend Schritte zur Risikominderung einleiten.
Das kann die Abschottung der Geräte vom offenen Internet, der Einsatz von Netzwerksegmentierung oder das vollständige Upgrade auf aktuell unterstützte und gepatchte Modelle umfassen. Weiterhin empfiehlt es sich, aktuelle Sicherheitsupdates frühzeitig zu installieren und die Systemsicherheit kontinuierlich zu überwachen, um Schwachstellen schnell zu erkennen und zu beheben. Die Angriffe auf Samsung MagicINFO und GeoVision zeigen exemplarisch, wie anfällig ältere IoT-Geräte gegenüber gezielten Cyberattacken sind und wie schnell sich Schwachstellen zu einer Bedrohung für die gesamte digitale Infrastruktur entwickeln können. Das Mirai-Botnet bleibt dabei ein bevorzugtes Werkzeug von Angreifern, um Ressourcen zu bündeln und großflächige Netzwerkausfälle zu generieren. Die Kombination aus offen zugänglichen Sicherheitslücken und der hohen Verbreitung von IoT-Geräten führt dazu, dass diese Risiken auch in Zukunft relevant bleiben.
Abschließend verdeutlichen die jüngsten Ereignisse, wie wichtig eine ganzheitliche Sicherheitsstrategie ist, die neben technischer Absicherung auch organisatorische Maßnahmen und eine enge Zusammenarbeit zwischen Herstellern, Anwendern und Sicherheitsbehörden umfasst. Nur so lässt sich langfristig die Sicherheit in einer zunehmend vernetzten Welt gewährleisten und das volle Potenzial der IoT-Technologie sicher nutzen.
