Serial-to-IP-Konverter sind spezialisierte Netzwerkgeräte, die eine wichtige Brückenfunktion erfüllen: Sie verbinden veraltete serielle Geräte und industrielle Kontrollsysteme mit modernen Ethernet- und IP-basierten Netzwerken. Dies ermöglicht es, Altsysteme in zeitgemäße IT-Infrastrukturen zu integrieren, ohne diese komplett austauschen zu müssen. Diese Praxis ist in vielen Industrien verbreitet, da eine vollständige Modernisierung wirtschaftlich oft nicht machbar ist.
Die Forescout-Forscher identifizierten insgesamt 20 neue Vulnerabilitäten, die unter dem Kürzel BRIDGE:BREAK zusammengefasst sind. Diese Schwachstellen erstrecken sich über verschiedene Angriffsvektoren: Remote Code Execution, OS-Command-Injection, Firmware-Manipulation, Denial-of-Service-Attacken und vollständige Deviceübernahmen. Besonders kritisch ist, dass einige dieser Lücken ohne jegliche Authentifizierung ausgenutzt werden können – ein klassisches High-Risk-Szenario.
Die Forescout-Analysten demonstrierten realistische Angriffsszenarien, die die Gefahren unterstreichen. In einem Szenario zeigten sie, wie Angreifer Sensordaten in industriellen oder medizinischen Umgebungen manipulieren könnten, um gefährliche Bedingungen zu verbergen. Ein weiteres Szenario beschreibt, wie Erpressungsgruppen oder staatliche Akteure böswillige Firmware in Healthcare-Umgebungen einschleusen könnten. Die Konsequenzen wären dramatisch: Laboranalysatoren würden aufhören zu melden, chirurgische Beleuchtungen reagierten nicht mehr auf Befehle, Infusionspumpen-Workflows würden unterbrochen, und Patient-Monitore verlieren Netzwerkverbindung.
Das Ausmaß der potenziellen Exposition ist erheblich. Nach Angaben der Hersteller sind Millionen dieser Geräte weltweit installiert. Mit Open-Source-Intelligence-Tools wie Shodan können Angreifer zielgerichtet nach internetexponierten Systemen suchen und erhalten dabei Informationen wie interne IP-Adressen, Modellnummern und sogar Fotos von Unteranlagen in kritischer Infrastruktur.
Historisch sind Serial-to-IP-Konverter bereits Ziele von Cyberattacken gewesen. Der Angriff auf die ukrainische Energieinfrastruktur 2015, der von russischen Hackern durchgeführt wurde, und jüngere Attacken auf polnische Energieeinrichtungen zeigen, dass diese Systeme auf dem Radar von organisierten Bedrohungsakteuren stehen.
Sowohl Lantronix als auch Silex wurden informiert und haben Patches bereitgestellt. Die US-amerikanische CISA veröffentlichte einen Advisory zu den Lantronix-Vulnerabilitäten, Silex folgte mit eigenem Advisory. Forescout wird am 21. April einen detaillierten Bericht zu BRIDGE:BREAK veröffentlichen. Für deutsche Betreiber kritischer Infrastruktur sollte die Installation dieser Patches höchste Priorität haben.