Original-URL des Artikels: https://www.golem.de/news/internet-of-things-fehler-in-geschirrspueler-ermoeglicht-zugriff-auf-webserver-1703-126953.html    Veröffentlicht: 27.03.2017 14:15    Kurz-URL: https://glm.io/126953

Internet of Things

Fehler in Spülmaschine ermöglicht Zugriff auf Webserver

Eine vorhersehbare Sicherheitslücke im Webserver einer Spülmaschine für Labore ermöglicht den Zugriff auf die Daten des Servers. Hersteller Miele hat inzwischen auf den Fehlerbericht reagiert und will einen Patch bereitstellen.

Dass es vielleicht doch keine so besonderes gute Idee ist, sämtliche verfügbaren Elektrogeräte mit dem Internet zu verbinden, haben diverse Sicherheitslücken in Internet-of-Things-Geräten in der Vergangenheit immer wieder gezeigt. Die Liste unsicherer Geräte im Netz wird nun - wenn auch eher unfreiwillig - um einen Reinigungs- und Desinfektionsautomaten für Laborbedarf des Herstellers Miele erweitert.

Denn laut dem Sicherheitsforscher Jens Regel des Beratungsunternehmens Schneider und Wulf ist der integrierte PST10-Webserver des Miele PG 8528 von einer relativ leicht nachvollziehbaren Sicherheitslücke betroffen: einem sogenannten Directory-Traversal-Bug. Dieser ermöglicht Angreifern den Zugriff auf beliebige Dateien des Rechners, auf dem der Webserver läuft.

Ein Angreifer könnte damit also Informationen erlangen, die dabei helfen, weiter in das System vorzudringen. Um die Lücke zu demonstrieren, veröffentlicht der Sicherheitsforscher Regel die Ausgabe der Datei /etc/shadow inklusive eines Teils des dort vorgehaltenen Shadow-Passworts für den Root-Nutzer.

Ethernet-Verbindung nur durch Miele-Support empfohlen

Laut Regel habe er seit Anfang November versucht, den Hersteller Miele zu kontaktieren und über die Sicherheitslücke zu informieren. Nachdem der Forscher die Lücke an Miele gemeldet hat, habe sich das Unternehmen jedoch nicht mehr gemeldet, auch nicht auf explizite Anfragen.

Miele hat nach ersten Medienberichten über die Lücke eine "Kommunikationspanne" eingeräumt und in einer Pressemitteilung Updates für seine Kunden in Aussicht gestellt. Darüber hinaus dankt das Unternehmen explizit dem Finder der Lücke. Ebenso möchte Miele überprüfen, warum nicht auf seine Hinweise reagiert worden ist, "um die Gefahr einer Wiederholung auszuschließen".

Dem Gerät liegt der Gebrauchsanweisung (PDF) zufolge ein fünf Meter langes Ethernet-Kabel bei, das laut Anweisung jedoch "nur durch den Miele-Kundendienst an eine andere Schnittstelle angeschlossen werden" darf. Schlimmstenfalls halten sich die Kunden aber eben nicht an diesen Hinweis und hängen das Gerät einfach in ihr eigenes Netz, ohne sich möglicher Gefahren bewusst zu sein.

Nachtrag vom 31. März 2017, 13:30 Uhr

Wir haben den Text um die Informationen von Miele ergänzt.  (sg)


Verwandte Artikel:
BSI-Richtlinie: Der streng geheime Streit über die Routersicherheit   
(25.01.2018, https://glm.io/132363 )
Hörgeräte: 3D-Sound, Cloud-Kundendienst und sprechende Trockner   
(31.08.2017, https://glm.io/129804 )
Telugu: Indisches Schriftzeichen legt iOS und MacOS lahm   
(15.02.2018, https://glm.io/132811 )
Netgear-Router-Software: Schwachstelle ermöglicht Dateiupload und Download   
(08.02.2016, https://glm.io/118987 )
Optionsbleed: Apache-Webserver blutet   
(18.09.2017, https://glm.io/130105 )

© 1997–2019 Golem.de, https://www.golem.de/