Een kritieke kwetsbaarheid in modems van Telit Cinterion maakt het mogelijk voor een aanvaller om de apparaten via het versturen van malafide sms-berichten volledig op afstand over te nemen. Dat laat antivirusbedrijf Kaspersky weten, dat het probleem ontdekte. De virusbestrijder stelt dat het beveiligingslek een ernstige dreiging voor miljoenen industriële apparaten vormt. De modems werden oorspronkelijk gemaakt door Gemalto.

Volgens Kaspersky spelen de modems een belangrijke rol in de communicatie van machine-to-machine (M2M) en Internet of Things (IoT) toepassingen. Zo worden de apparaten gebruikt voor allerlei toepassingen, waaronder industriële automatisering, voertuigtelematica, smart meters en zorgmonitoring. Gemalto werd eerder door Thales overgenomen. Vorig jaar kwamen de IoT-productentak van Thales, waaronder de Cinterion-modems, in handen van Telit.

Onderzoekers van Kaspersky ontdekten dat de modems niet goed omgaan met de verwerking van sms-berichten. Door het versturen van een malafide sms kan een heap overflow ontstaan. Door het versturen van meerdere sms-berichten kan een aanvaller zo willekeurige code uitvoeren. Ook is het via het beveiligingslek mogelijk om speciale AT-commando's van de fabrikant in te schakelen en zo het flashgeheugen van de modem te lezen en hiernaartoe te schrijven.

Om de impact van de kwetsbaarheid te demonstreren ontwikkelden de onderzoekers een eigen sms-gebaseerd bestandssysteem dat ze op afstand kunnen installeren. Via het beveiligingslek is het mogelijk om Over The Air Provisioning in te schakelen. De hierdoor geïnstalleerde malafide code is vervolgens alleen door een volledige reflash van de modemfirmware te verwijderen. De impact van de kwetsbaarheid (CVE-2023-47610) is door het Amerikaanse National Institute of Standards and Technology (NIST) op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Kaspersky zegt dat het details van de kwetsbaarheid met de fabrikant heeft gedeeld, maar maakt geen melding van de beschikbaarheid van updates. Het CVE-nummer wordt ook niet op de website van de fabrikant gemeld. De virusbestrijder adviseert organisaties die van de betreffende modems gebruikmaken om aan de telecomprovider te vragen om het versturen van sms-berichten naar het apparaat uit te schakelen. De onderzoekers hebben gisteren tijdens een beveiligingsconferentie in Berlijn details over de kwetsbaarheid openbaar gemaakt.