image

Lek in Fibaro-domoticasysteem geeft hacker volledige toegang

woensdag 27 september 2017, 12:09 door Redactie, 10 reacties

De Nederlandse hacker Wesley Neelen heeft een beveiligingslek in een domoticasysteem van fabrikant Fibaro gevonden waardoor hij het systeem op afstand kon overnemen. Het Fibaro Home Center 2 communiceert via het Z-Wave-protocol draadloos met sensoren en apparaten in en rondom de woning.

De gateway is via een internetaansluiting ook extern op elke plek te benaderen om zo het domoticasysteem in de woning te bedienen. Neelen onderzocht het apparaat en ontdekte een ernstige kwetsbaarheid waardoor een aanvaller het Fibaro Home Center 2 en Fibaro Home Center Lite volledig kan overnemen als de webinterface toegankelijk is. De software van het systeem blijkt gebruikersinvoer niet goed te controleren, waardoor 'command injection' mogelijk is. De rechten van de gebruiker waarmee Neelen commando's kon uitvoeren waren echter beperkt.

De onderzoeker ontdekte dat deze gebruiker een aantal bestanden met rootrechten uitvoert. Door deze bestanden aan te roepen slaagde Neelen erin om uiteindelijk rootrechten en zo volledige controle over het systeem te krijgen. Fibaro werd op 22 februari gewaarschuwd, maar dat was een lastig proces, aldus Neelen. De werknemer waarmee hij in contact kwam zou het beveiligingslek niet de prioriteit hebben gegeven die het verdiende.

Uiteindelijk werd het probleem op 28 juni gepatcht en ontving Neelen een t-shirt. Gebruikers krijgen het advies om Fibaro-update 4.140 te installeren waarmee het probleem wordt verholpen. Gisteren waarschuwden onderzoekers nog voor een lek in een domoticasysteem van Insteon waarvoor nog geen patch beschikbaar is.

Reacties (10)
27-09-2017, 12:37 door Anoniem
Wouw, een t-shirt! Toch wel de juiste maat?
27-09-2017, 12:54 door Xhendos
Uiteindelijk werd het probleem op 28 juni gepatcht en ontving Neelen een t-shirt
Ik snap wel dat mensen niet altijd lekken melden, maar ze gebruiken om Monero te delven, ransomware te installeren of de device toevoegen aan een botnet.
Dit is een ander teken de beveliging niet hoog staat bij Fibaro. Dit kwam gelukkig in de tekst al naar voren.
27-09-2017, 13:37 door Anoniem
Geef dan gewoon een set van je hardware weg.... een t-shirt is wel wat matig ;)
Je wilt toch mensen belonen die je fouten vinden en netjes melden?
27-09-2017, 21:02 door Anoniem
Maar kan iemand me vertellen waarom de link -https://forsec.nl/2017/09/smart-home-remote-command-execution-rce/
bij mij geblokkeerd wodt als een medium web rep risico?

Met enige reden, wat het certificaat daar is op een verkeerde volgorde geïnstalleerd en nog zelf gesigneerd ook als root op de server. Geen 'best practices' gevolgd bij forsec dot nl.

Iemand nu nog graag over McAfee's blokkering? Of wil men de info daar niet graag gedeeld zien?
27-09-2017, 21:17 door Anoniem
Fibaro.. is dat niet die toko die zo groot is geworden dat ze als enige smart home supplier nog steeds niet z-Wave+ ondersteunen zodat het hele eco gebeuren niet werkt bij hen ?
Want 1 systeem niet + dan alle systemen niet plus.
Met andere woorden, nog erger dan Microsoft.
28-09-2017, 00:17 door Anoniem
Hier is de link gedetecteerd als met malware: https://urlquery.net/report/13c79fd4-e0bd-4605-a7b8-84ec29b40aa6
Hier WordPress misconfiguratie: Warning User Enumeration is possible
The first two user ID's were tested to determine if user enumeration is possible.

ID User Login
1 XXX3 XXX3 (XXX van mij, de 3 geeft de echtheid aan).
2 None

C-graad score en recommendatie: https://observatory.mozilla.org/analyze.html?host=forsec.nl

http://frag.co.uk/tools/?page=source&host=forsec.nl

Dit via een hele kleine "3rd party cold reconnaissance scan".

Website security is dus niet ieders pakkie an,
maar scoort hier hoog met 81% : https://en.internet.nl/domain/forsec.nl/98584/
28-09-2017, 09:05 door Anoniem
Door Xhendos: Ik snap wel dat mensen niet altijd lekken melden, maar ze gebruiken om Monero te delven, ransomware te installeren of de device toevoegen aan een botnet.
Je snapt wel dat mensen die mager beloond worden voor iets waar ze, zonder contract of arbeidsovereenkomst, op eigen initiatief mee aan komzen zetten dan maar onschuldige slachtoffers gaan maken? Bedenkelijke moraal houd jij erop na.
28-09-2017, 12:52 door Anoniem
Wel eens met Anoniem van 09:05

Als een ieder een T-shirt versmaadde voor inlijving bij het cybercrime circus, waren er geen onafhankelijke en vrijwillige onderzoekers meer...dan hadden idealisten als F.R.A.V.I..A. nooit bestaan en was ieder "te koop voor de hoogste bieder".
Dan gaan alle principes overboord, is de houding "zo de wind waait, waait m'n jassie" en wordt het met de onveiligheid online nog een graadje erger als het al is.

Gelukkig is de minderheid met overtuigingen en een rechte rug nog niet geheel verdwenen. Ik draag mijn verkregen T-shirts vol trots en weiger onethische figuren te helpen. We leven nu gelukkig in het boemerang tijdperk vol van Waterman karma.
Doe je wat vervelends, kaatst het karma gelijk via anderen naar je terug. Je kan er in openheid eigenlijk op zitten wachten, wel zo fijn, wel zo duidelijk.

(ter verduidelijking van mijn opmerking - Elk tijdperk duurde zo'n 2000 jaar. Eerst hadden we het tijdvak van de Stier, denk aan Egypte en het gouden kalf, dan krijg je het tijdperk Ram met de ramshoorn en de zondebok (leuk te noemen zo vlak na het begin van het nieuwe Joodse jaar), dan de tijdperk Pisces (Vissen), tijd van het Christendom, en nu het aanbreken van het Aquarius ofWaterman-tijdperk).
19-04-2018, 01:50 door Anoniem
Door Xhendos:
Uiteindelijk werd het probleem op 28 juni gepatcht en ontving Neelen een t-shirt
Ik snap wel dat mensen niet altijd lekken melden, maar ze gebruiken om Monero te delven, ransomware te installeren of de device toevoegen aan een botnet.
Dit is een ander teken de beveliging niet hoog staat bij Fibaro. Dit kwam gelukkig in de tekst al naar voren.

Das gewoon bullshit. Fibaro staat kwalitatief gezien gewoon op eenzame hoogte. En kan je vertellen dat je niet zomaar binnenraakt want de verbinding is bedraad,,,, Dus ga het maar proberen dan.... En zonder ww kan je helemaal niets....
19-04-2018, 01:54 door Anoniem
Door Anoniem: Fibaro.. is dat niet die toko die zo groot is geworden dat ze als enige smart home supplier nog steeds niet z-Wave+ ondersteunen zodat het hele eco gebeuren niet werkt bij hen ?
Want 1 systeem niet + dan alle systemen niet plus.
Met andere woorden, nog erger dan Microsoft.

Duidelijk weer een onzin reactie van iemand die totaal niet snapt waar die over praat. Febaro is wel nr. 1 op domotica gebied. Van alle soorten hebben ze weliets als eigen merk. Geen enkele andere z-wave domotica fabrikant die dat kan zeggen. En zo'n beetje het langst op de markt dus geen kinderziektes meer... De rest mag zich nog zwaar bewijzen, Fibaro hoeft dat niet meer aangezien ze zich gewoon hard bewezen hebben al.... EN nu jij weer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.