SchwachstellenCryptographie-SicherheitIoT-Sicherheit

Kritische wolfSSL-Lücke gefährdet Zertifikatsprüfung in Milliarden Geräten weltweit

Kritische wolfSSL-Lücke gefährdet Zertifikatsprüfung in Milliarden Geräten weltweit
Zusammenfassung

Eine kritische Sicherheitslücke in der wolfSSL-Bibliothek gefährdet die Authentizität von Zertifikaten weltweit. Die Schwachstelle (CVE-2026-5194) ermöglicht es Angreifern, fehlerhafte Hash-Algorithmen bei der Überprüfung von ECDSA-Signaturen zu akzeptieren und damit gefälschte Zertifikate als legitim erscheinen zu lassen. wolfSSL ist eine weit verbreitete Implementierung für Transport Layer Security in eingebetteten Systemen, IoT-Geräten, Industriesteuerungen und Automotivanwendungen – insgesamt in über fünf Milliarden Geräten weltweit. Dies macht die Lücke zu einer potenziellen Bedrohung von erheblichem Ausmaß. Entdeckt von Nicholas Carlini von Anthropic, könnte die Schwachstelle es Angreifern ermöglichen, Geräte dazu zu zwingen, Verbindungen zu bösartigen Servern zu akzeptieren. Für deutsche Unternehmen und Behörden, die wolfSSL in kritischen Infrastrukturen, vernetzten Geräten oder industriellen Systemen einsetzen, besteht dringender Handlungsbedarf. Die Lücke wurde in Version 5.9.1 geschlossen, weshalb ein sofortiges Update unerlässlich ist, um die Zertifikatsvalidierung zu sichern und das Vertrauen in digitale Identitäten zu bewahren.

Die wolfSSL-Bibliothek ist ein etabliertes, leichtgewichtiges TLS/SSL-Framework speziell für ressourcenbegrenzte Umgebungen. Ihre breite Verwendung in industriellen Kontrollsystemen, Automobilen und Militäranwendungen macht jede Sicherheitslücke zum potenziellen Flächenbrand. Die jetzt entdeckte Schwachstelle CVE-2026-5194 wurde von Nicholas Carlini von Anthropic aufgedeckt und adressiert einen grundlegenden Fehler in der kryptographischen Validierung.

Das Kernproblem liegt in unzureichenden Überprüfungen bei der Verifizierung digitaler Signaturen. Konkret akzeptiert die verwundbare Version Hash-Algorithmen oder deren Größen, die kryptographisch untermaßig sind. Ein Angreifer kann dadurch eine gefälschte Zertifikat mit einem zu klein gerechneten Digest bereitstellen – und die Sicherheitsmechanismen akzeptieren diese manipulierte Signatur. Das Vertrauen in digitale Identitäten wird damit systematisch untergraben.

Die Sicherheitsberater warnen deutlich: Durch diese Lücke könnten Anwendungen und Geräte dazu gebracht werden, bösartige Server als legitim zu akzeptieren – und damit sensible Verbindungen mit Kriminellen zu etablieren. Der unabhängige Sicherheitsforscher Lukasz Olejnik bezeichnet das Ausmaß prägnant: Systeme könnten „gefälschte digitale Identitäten als echt anerkennen und vertrauenswürdige Verbindungen zu malicious Servern aufbauen, die sie eigentlich ablehnen sollten”.

WolfSSL hat bereits reagiert. Version 5.9.1 vom 8. April 2025 schließt die Lücke. Allerdings müssen viele Nutzer über Distributoren und Firmware-Hersteller aktualisieren – was den Update-Prozess komplex und zeitintensiv macht. Red Hat etwa prüft derzeit die Auswirkungen für eigene Produkte wie MariaDB, das aber OpenSSL nutzt und damit nicht betroffen ist.

Deutsche Organisationen in kritischen Sektoren – Energiewirtschaft, Finanzinstitute, Industrie 4.0-Umgebungen – sollten sofort aktiv werden. Systemadministratoren müssen ihre wolfSSL-Deployments inventarisieren und auf Update-Pfade überprüfen. Besonders brisant: Viele eingebettete Systeme erhalten Updates nur über Firmware-Patches ihrer Hersteller, nicht über zentrale Softwarekanäle. Die Zeit zum Handeln ist eng.

Ähnliche Artikel