Lek in Fibaro-domoticasysteem geeft hacker volledige toegang
De Nederlandse hacker Wesley Neelen heeft een beveiligingslek in een domoticasysteem van fabrikant Fibaro gevonden waardoor hij het systeem op afstand kon overnemen. Het Fibaro Home Center 2 communiceert via het Z-Wave-protocol draadloos met sensoren en apparaten in en rondom de woning.
De gateway is via een internetaansluiting ook extern op elke plek te benaderen om zo het domoticasysteem in de woning te bedienen. Neelen onderzocht het apparaat en ontdekte een ernstige kwetsbaarheid waardoor een aanvaller het Fibaro Home Center 2 en Fibaro Home Center Lite volledig kan overnemen als de webinterface toegankelijk is. De software van het systeem blijkt gebruikersinvoer niet goed te controleren, waardoor 'command injection' mogelijk is. De rechten van de gebruiker waarmee Neelen commando's kon uitvoeren waren echter beperkt.
De onderzoeker ontdekte dat deze gebruiker een aantal bestanden met rootrechten uitvoert. Door deze bestanden aan te roepen slaagde Neelen erin om uiteindelijk rootrechten en zo volledige controle over het systeem te krijgen. Fibaro werd op 22 februari gewaarschuwd, maar dat was een lastig proces, aldus Neelen. De werknemer waarmee hij in contact kwam zou het beveiligingslek niet de prioriteit hebben gegeven die het verdiende.
Uiteindelijk werd het probleem op 28 juni gepatcht en ontving Neelen een t-shirt. Gebruikers krijgen het advies om Fibaro-update 4.140 te installeren waarmee het probleem wordt verholpen. Gisteren waarschuwden onderzoekers nog voor een lek in een domoticasysteem van Insteon waarvoor nog geen patch beschikbaar is.
Dit is een ander teken de beveliging niet hoog staat bij Fibaro. Dit kwam gelukkig in de tekst al naar voren.
Je wilt toch mensen belonen die je fouten vinden en netjes melden?
bij mij geblokkeerd wodt als een medium web rep risico?
Met enige reden, wat het certificaat daar is op een verkeerde volgorde geïnstalleerd en nog zelf gesigneerd ook als root op de server. Geen 'best practices' gevolgd bij forsec dot nl.
Iemand nu nog graag over McAfee's blokkering? Of wil men de info daar niet graag gedeeld zien?
Want 1 systeem niet + dan alle systemen niet plus.
Met andere woorden, nog erger dan Microsoft.
Hier WordPress misconfiguratie: Warning User Enumeration is possible
The first two user ID's were tested to determine if user enumeration is possible.
ID User Login
1 XXX3 XXX3 (XXX van mij, de 3 geeft de echtheid aan).
2 None
C-graad score en recommendatie: https://observatory.mozilla.org/analyze.html?host=forsec.nl
http://frag.co.uk/tools/?page=source&host=forsec.nl
Dit via een hele kleine "3rd party cold reconnaissance scan".
Website security is dus niet ieders pakkie an,
maar scoort hier hoog met 81% : https://en.internet.nl/domain/forsec.nl/98584/
Als een ieder een T-shirt versmaadde voor inlijving bij het cybercrime circus, waren er geen onafhankelijke en vrijwillige onderzoekers meer...dan hadden idealisten als F.R.A.V.I..A. nooit bestaan en was ieder "te koop voor de hoogste bieder".
Dan gaan alle principes overboord, is de houding "zo de wind waait, waait m'n jassie" en wordt het met de onveiligheid online nog een graadje erger als het al is.
Gelukkig is de minderheid met overtuigingen en een rechte rug nog niet geheel verdwenen. Ik draag mijn verkregen T-shirts vol trots en weiger onethische figuren te helpen. We leven nu gelukkig in het boemerang tijdperk vol van Waterman karma.
Doe je wat vervelends, kaatst het karma gelijk via anderen naar je terug. Je kan er in openheid eigenlijk op zitten wachten, wel zo fijn, wel zo duidelijk.
(ter verduidelijking van mijn opmerking - Elk tijdperk duurde zo'n 2000 jaar. Eerst hadden we het tijdvak van de Stier, denk aan Egypte en het gouden kalf, dan krijg je het tijdperk Ram met de ramshoorn en de zondebok (leuk te noemen zo vlak na het begin van het nieuwe Joodse jaar), dan de tijdperk Pisces (Vissen), tijd van het Christendom, en nu het aanbreken van het Aquarius ofWaterman-tijdperk).
Dit is een ander teken de beveliging niet hoog staat bij Fibaro. Dit kwam gelukkig in de tekst al naar voren.
Das gewoon bullshit. Fibaro staat kwalitatief gezien gewoon op eenzame hoogte. En kan je vertellen dat je niet zomaar binnenraakt want de verbinding is bedraad,,,, Dus ga het maar proberen dan.... En zonder ww kan je helemaal niets....
Want 1 systeem niet + dan alle systemen niet plus.
Met andere woorden, nog erger dan Microsoft.
Duidelijk weer een onzin reactie van iemand die totaal niet snapt waar die over praat. Febaro is wel nr. 1 op domotica gebied. Van alle soorten hebben ze weliets als eigen merk. Geen enkele andere z-wave domotica fabrikant die dat kan zeggen. En zo'n beetje het langst op de markt dus geen kinderziektes meer... De rest mag zich nog zwaar bewijzen, Fibaro hoeft dat niet meer aangezien ze zich gewoon hard bewezen hebben al.... EN nu jij weer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
