Ernstige kwetsbaarheden in de mobiele modems van Cinterion vormen risico's voor verschillende sectoren

Cyberbeveiliging
Cinterion Cellular Modems

Cybersecurity-onderzoekers hebben meerdere beveiligingsfouten in de mobiele modems van Cinterion onthuld die mogelijk door bedreigingsactoren kunnen worden uitgebuit om toegang te krijgen tot gevoelige informatie en code-uitvoering te bewerkstelligen.

“Deze kwetsbaarheden omvatten kritieke fouten die het uitvoeren van code op afstand en ongeoorloofde escalatie van bevoegdheden mogelijk maken, wat aanzienlijke risico's met zich meebrengt voor integrale communicatienetwerken en IoT-apparaten die fundamenteel zijn voor de industriële, gezondheidszorg-, automobiel-, financiële en telecommunicatiesector”, aldus Kaspersky.

Cinterion-modems zijn oorspronkelijk ontwikkeld door Gemalto voordat het bedrijf door Telit werd overgenomen van Thales als onderdeel van een deal die in juli 2022 werd aangekondigd.

De bevindingen werden gepresenteerd tijdens de OffensiveCon die op 11 mei in Berlijn werd gehouden. De lijst met acht tekortkomingen is als volgt:

  • CVE-2023-47610 (CVSS-score: 8.1) – Een bufferoverloopkwetsbaarheid waardoor een niet-geauthenticeerde aanvaller op afstand willekeurige code op het beoogde systeem kan uitvoeren door een speciaal vervaardigd sms-bericht te verzenden.
  • CVE-2023-47611 (CVSS-score: 7,8) – Een ongepast privilegebeheerkwetsbaarheid waardoor een lokale aanvaller met weinig bevoegdheden rechten op het beoogde systeem kan verhogen naar fabrikantniveau.
  • CVE-2023-47612 (CVSS-score: 6,8) – Een kwetsbaarheid voor bestanden of mappen die toegankelijk zijn voor externe partijen waardoor een aanvaller met fysieke toegang tot het doelsysteem lees-/schrijftoegang kan verkrijgen tot alle bestanden en mappen op het doelsysteem, inclusief verborgen bestanden en mappen.
  • CVE-2023-47613 (CVSS-score: 4,4) – Een relatieve kwetsbaarheid bij het doorlopen van paden waardoor een lokale aanvaller met weinig bevoegdheden uit virtuele mappen kan ontsnappen en lees-/schrijftoegang kan krijgen tot beveiligde bestanden op het beoogde systeem.
  • CVE-2023-47614 (CVSS-score: 3,3) – Een blootstelling aan kwetsbaarheid voor gevoelige informatie waardoor een lokale aanvaller met weinig bevoegdheden verborgen virtuele paden en bestandsnamen op het beoogde systeem kan onthullen.
  • CVE-2023-47615 (CVSS-score: 3,3) – Een blootstelling van gevoelige informatie via de kwetsbaarheid van omgevingsvariabelen waardoor een lokale aanvaller met weinig bevoegdheden ongeautoriseerde toegang tot het beoogde systeem kan verkrijgen.
  • CVE-2023-47616 (CVSS-score: 2,4) – Een blootstelling aan kwetsbaarheid voor gevoelige informatie waardoor een aanvaller met fysieke toegang tot het doelsysteem toegang kan krijgen tot gevoelige gegevens op het doelsysteem.

De ernstigste zwakke plek is CVE-2023-47610, een heap-overflow-kwetsbaarheid in de modem waardoor aanvallers op afstand willekeurige code kunnen uitvoeren via sms-berichten.

Bovendien zou de toegang kunnen worden bewapend om RAM en flash-geheugen te manipuleren, waardoor de aanvallers meer controle over de modem kunnen uitoefenen zonder authenticatie of fysieke toegang nodig hebben.

De resterende kwetsbaarheden komen voort uit veiligheidsproblemen bij de verwerking van MIDlets, die verwijzen naar op Java gebaseerde applicaties die in de modems draaien. Ze kunnen worden misbruikt om controles op digitale handtekeningen te omzeilen en ongeoorloofde code-uitvoering met verhoogde rechten mogelijk te maken.

Beveiligingsonderzoekers Sergey Anufrienko en Alexander Kozlov worden gecrediteerd voor het ontdekken en rapporteren van de fouten, die formeel werden onthuld door Kaspersky ICS CERT in een reeks adviezen die op 8 november 2023 werden gepubliceerd.

“Aangezien de modems doorgaans in een matryoshka-stijl zijn geïntegreerd in andere oplossingen, waarbij producten van de ene leverancier bovenop die van een andere worden gestapeld, is het samenstellen van een lijst met betrokken eindproducten een uitdaging”, zegt Evgeny Goncharov, hoofd van Kaspersky ICS CERT.

Om potentiële bedreigingen te beperken, wordt organisaties aanbevolen om niet-essentiële sms-berichtenfuncties uit te schakelen, privétoegangspuntnamen (APN's) te gebruiken, de fysieke toegang tot apparaten te controleren en regelmatig beveiligingsaudits en updates uit te voeren.

The Hacker News heeft Telit benaderd voor meer informatie over de tekortkomingen, en we zullen het verhaal bijwerken zodra we iets horen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Uitgelekte livebeelden tonen de Pixel 9-serie

Google en HP bundelen hun krachten om Project Starline op de markt te brengen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]