Long Range Wide Area Network (LoRaWAN) ist ein energiesparendes Funkprotokoll, das für die Verbindung von Geräten über große Entfernungen entwickelt wurde. Diese Geräte werden häufig mit Batterien betrieben und sind für einen langfristigen autonomen Betrieb ausgelegt. In der Regel senden die Endgeräte die Daten an LoRaWAN-Gateways, welche diese zur weiteren Verarbeitung an Backend-Systeme weiterleiten. Solche Backend-Systeme können in lokalen Netzwerken, aber auch im Internet betrieben werden.

Kerlink gilt als einer der weltweit führenden Anbieter von LoRaWAN-Netzwerkinfrastruktur und -Lösungen. Als Teil ihres Portfolios entwickeln sie LoRaWAN-Gateways für den Innen- und Außenbereich.

Im Jahr 2024 analysierte das Offensive Security Team der BDO Cyber Security GmbH Kerlink LoRaWAN-Gateways mit unterschiedlichen Versionen des verwendeten Betriebssystems (KerOS) auf Schwachstellen. Dabei wurden mehrere Sicherheitslücken entdeckt und an den Hersteller gemeldet. Nachdem Kerlink diese behoben hat, veröffentlichen wir nun anbei Informationen zu einigen dieser Schwachstellen. Darüber hinaus listen wir eine weitere Schwachstelle auf, die wir im Rahmen dieser Tests entdeckt haben, die jedoch Dienste eines Drittanbieters (ChirpStack) betreffen.

CVE-2024-39148 – OS Command Injection über wmp-agent

Der Dienst wmp-agent validiert sogenannte Magic-URLs nicht ordnungsgemäß. Dies ermöglicht das Ausführen von Code mit Rechten des Nutzers root, wenn der Dienst per Netzwerk erreichbar ist. In der Regel ist dieser jedoch durch eine lokale Firewall geschützt. Dies betrifft alle Versionen von KerOS bis Version 5.11. Das Problem wurde in KerOS 5.12 behoben. Die Schwachstelle wurde mit dem Schweregrad „hoch“ eingestuft.

CVE-2024-32388 – Unzureichende Zugriffskontrolle: Teilweise Umgehung der Firewall (UDP)

Eine Analyse der Firewall-Regeln ergab, dass die iptables-Konfiguration bis KerOS 5.11 es ermöglicht, die Firewall durch das Senden speziell präparierter UDP-Pakete zu umgehen. Das Problem wurde in KerOS 5.12 behoben. Die Schwachstelle wurde mit der Kritikalität „mittel“ eingestuft.

CVE-2024-32384 – Fehlende Unterstützung für HTTPS

Bei der Analyse des Web-Interface der Gateways zeigte sich, dass Transport Layer Security (TLS) nicht unterstützt wird, das Web-Interface somit nur per HTTP erreichbar ist. Damit ist die Kommunikation zwischen dem Client und dem Gateway auf der Transportschicht nicht gesichert, sodass ein Man-in-the-Middle die Verbindung ausspähen und manipulieren könnte. Dies betrifft alle KerOS-Versionen vor 5.9. Ab Version 5.10 ist eine Konfiguration von HTTPS möglich, dies ist im Kerlink Wiki näher beschrieben. Diese Schwachstelle wurde mit dem Schweregrad „mittel“ eingestuft.

CVE-2024-29862 – Unzureichende Zugriffskontrolle: Teilweise Umgehung der Firewall (TCP)

Zusätzlich zu dem oben beschriebenen Problem der Fehlkonfiguration der Firewall stellte sich heraus, dass auch TCP-Datenverkehr die Firewall umgehen kann, wenn speziell präparierte TCP-Pakete gesendet werden. Dies betrifft das Drittanbieter-Modul chirpstack-mqtt-forwarder vor 4.2.1 und chirpstack-gateway-bridge vor 4.0.11. Das Problem wurde bereits im letzten Jahr vom Hauptentwickler von ChirpStack behoben. Es wurde als ebenfalls mit „mittels“ eingestuft.

Nähere Informationen zu den Schwachstellen, finden sich in den verlinkten Advisories.

Wir empfehlen dringend, betroffene Geräte so schnell wie möglich zu aktualisieren, da eine Kombination der Schwachstellen zu einer vollständigen Kompromittierung der Geräte führen kann.

Wir möchten uns bei Kerlink sowie bei Orne Brocaar von ChirpStack für die Zusammenarbeit bedanken.

Wollen auch Sie Ihre Geräte im Rahmen eines Hardware-Penetrationstest überprüfen lassen? Kontaktieren Sie uns gern.

Dieser Artikel wurde verfasst von