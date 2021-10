Seite 2 ► Seite 1 von 2

Bad Homburg (ots) - Cisco Small Business-Router und andere namhafte Hersteller betroffen- Schwachstellen wurden bereits 2011 entdeckt und tauchen dennoch immer wiederaufIn zahlreichen Geräten führender Anbieter wie Cisco, DD-WRT oder Linksys findensich Hardware-Bausteine von Broadcom. Diese enthalten deutlicheSicherheitslücken im Software Development Kit (SDK)(https://www.iot-inspector.com/de/blog/broadcom-sdk-schwachstellen-bug-reports/), berichtet das Security-Unternehmen IoT Inspector. Das Team des IoT InspectorResearch Lab deckte soeben Schwachstellen auf, die sich seit über zehn Jahrenwie ein roter Faden durch auf Broadcom aufbauende Produkte ziehen, und fürHacker eine willkommene verwundbare Flanke bieten. "Neben der Problematik dernicht überwachten Supply Chain - also der Nutzung von Hardware ohne vorherigerRisiko-Überprüfung - fällt hier auf, wie schwerwiegend die Folgen vonCopy-Paste-Engineering sein können: Diese Schwachstellen werden - obwohlBroadcom nach unseren Ergebnissen bereits 2011 einen Patch veröffentlichte -immer wieder in Produkte führender Hersteller verbaut, die auf eine fehlerhafteVersion des SDK aufbauen", analysiert Florian Lukavsky, Geschäftsführer von IoTInspector. Das Unternehmen bietet eine umfassende Plattform zur Analyse vonDevice-Firmware und deckt regelmäßig Schwachstellen bei Komponenten- oderGeräteherstellern auf. Meist erfolgen diese Security-Checks im Auftrag derHersteller und Inverkehrbringer sowie zu wissenschaftlichen Zwecken.Supply Chain erfordert KontrolleVon den Sicherheitslücken betroffen sind unter anderem die Cisco-Router derSmall Business Serie RV110W, RV130, RV130W und RV215W, die tausendfach beiUnternehmen im Einsatz sind. Diese ermöglicht über die Universal Plug-and-Play(UPnP)-Funktion die Fernsteuerung des Routers und eine DoS-Attacke (Denial ofService). Die Schwachstelle wird unter der CVE-2021-34730 mit einerRisikobewertung von 9.8 (kritisch) für Cisco geführt. Problematisch ist dieIdentifikation der betroffenen Geräte - bis heute hat Broadcom keineInformationen darüber gegeben, welche Versionen der SDK bestroffen sind. Wieauch schon bei der weltweit hunderttausendfach verbreitetenRealtek-Schwachstelle bietet IoT Inspector einen kostenlosen Service(https://research.iot-inspector.com/register/) , mit dem Nutzer prüfen können,ob ein genutztes Produkt der genannten Hersteller betroffen ist. "Die wahreSchwachstelle liegt in der Supply Chain. Gerätehersteller nutzen Bausteine von