Digital Eliteboard

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Security-GAU bei Abus-Alarmanlagen

Wenn Sicherheitstechnik zum Sicherheitsrisiko wird: Tausende Abus-Alarmanlagen sind Hackern schutzlos ausgeliefert. Was Betroffene jetzt tun müssen.

proxy.jpg
(Bild: Abus)

Erneut wurde eine gefährliche Sicherheitslücke in der vernetzten Alarmanlage Secvest FUAA50000 von Abus entdeckt. Über eine bestimmte URL liefert die Alarmzentrale ohne Authentifizierung ihre Gerätekonfiguration aus – einschließlich der zur Konfiguration nötigen Admin-PIN. Auch hinterlegte Telefonnummern, Nutzernamen, Ereignisse und Informationen über die eingesetzten Komponenten sind Teil der ausgelieferten Datei. Wer will, kann damit das System deaktivieren, umkonfigurieren oder einen Alarm auslösen.
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!

Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!


Betroffen ist die Funkalarmanlage Abus Sevcest FUAA50000.

Entdeckt hat die Lücke der Sicherheitsexperte Niels Teusink von Eye Security. Er kontaktierte Abus nach eigenen Angaben bereits im Oktober vergangenen Jahres, um auf die gefährliche Schwachstelle aufmerksam zu machen. Im November gelang es Abus laut Teusink, das Problem nachzuvollziehen und im Januar des laufenden Jahres erschien schließlich ein Firmware-Update, das die Lücke abdichten soll. Um niemanden unnötig in Gefahr zu bringen, wartete Teusink noch bis vor wenigen Tagen, ehe er sich mit seinem Fund an die Öffentlichkeit wandte.

Gefahr erkannt, aber nicht gebannt

Mit dem Firmware-Update auf Version 3.01.21 konnte Abus das Problem offensichtlich nicht in den Griff bekommen: Laut Teusink ist die abgesicherte Firmware bislang nur auf etwa 10 Prozent der rund 10.000 Secvest-Alarmanlagen in Deutschland angekommen, die aus dem Internet erreichbar sind. Das bedeutet im Umkehrschluss, dass derzeit mutmaßlich noch tausende Alarmsysteme kinderleicht über das Internet kompromittierbar sind.

Um den Ernst der Lage einschätzen zu können, hat c't mit Hilfe von heise Security stichprobenartig nach verwundbaren Secvest-Anlagen gescannt. Tatsächlich gelang es uns, innerhalb kurzer Zeit hunderte Alarmanlagen mit veralteter Firmware aufzuspüren, die bereitwillig ihre Gerätekonfiguration ausliefern. In Anbetracht der Tatsache, dass das Firmware-Update bereits vor drei Monaten erschienen ist, ist der Anteil der nach wie vor anfälligen Systeme erschreckend hoch

Sofort updaten!


Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!


Das wichtige Firmware-Update kann dazu führen, dass die Alarmanlage auf Werkeinstellungen zurückfällt.
(Bild: Abus)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von knapp 6000 verwundbaren Secvest-Alarmanlagen, die aus dem Internet erreichbar sind. Das BSI hat die Provider der Abus-Kunden über die gefährliche Lage informiert. Üblicherweise wenden sich die Provider anschließend an die betroffenen Kunden, damit diese geeignete Schutzmaßnahmen treffen können.

Wer eine betroffene Secvest-Anlage betreibt, sollte umgehend sicherstellen, dass darauf die aktuelle Firmware 3.01.21 installiert ist. In den Release Notes des Updates rät Abus dringend dazu, die Konfiguration vor der Aktualisierung zu sichern, da es möglich ist, dass die Alarmanlage beim Update auf Werkseinstellungen zurückfällt. Das BSI empfiehlt darüber hinaus, die Anlagen nicht direkt übers Internet erreichbar zu machen, sondern stattdessen eine VPN-Verbindung zu nutzen, sofern ein Fernzugriff notwendig ist.

Seit dem Jahr 2016 wurden bereits zahlreiche Sicherheitslücken in der Secvest-Alarmanlage oder ihren Komponenten bekannt. Die Lücken ließen sich nicht nur über das Internet ausnutzen, sondern auch per Funk. Wir haben uns mit einigen konkreten Fragen an Abus gewandt und werden den Artikel aktualisieren, sobald wir eine Rückmeldung erhalten.

Update vom 30. April 2021, 12:45: Inzwischen liegt c't eine Stellungnahme von Abus zu dem Fall vor. Eine automatische Installation des Updates durch die Alarmzentralen werde "aufgrund normativer Anforderungen" nicht durchgeführt.

Die aktuelle Situation sei darauf zurückzuführen, dass der Hinweis auf das wichtige Firmware-Update nicht bei allen Alarmanlagen-Errichtern angekommen ist, die für die Installation und Wartung der Geräte zuständig sind. "Wir stehen deshalb in engem Austausch mit unseren Partnern und weisen ausdrücklich darauf hin, dass es dringend erforderlich ist, alle Secvest Systeme entsprechend upzudaten", erklärt das Unternehmen.

Unsere Frage, ob die Secvest-Anlagen und -Komponenten einem unabhängigen Security-Audit unterzogen wurden, blieb unbeantwortet. (

Quelle; heise
 

l00pm45ch1n3

Freak
Registriert
31. Oktober 2019
Beiträge
227
Lösungen
2
Punkte Reaktionen
756
Erfolgspunkte
163
Ort
Out of Space
Stellt sich die Frage, warum die Nutzer nicht direkt von Abus benachrichtigt werden, wenn das Alarmsystem ein Türöffner ist.
 
Oben