Een alarmsysteem van het Duitse merk ABUS is door een kwetsbaarheid op afstand uit te schakelen. Ook kan een aanvaller met de beveiligingscamera's meekijken. De fabrikant kwam in januari met een firmware-update, maar zowel klanten als installateurs weten niet dat die beschikbaar is. Daardoor lopen bijna driehonderd huizen en bedrijven in Nederland risico, zo meldt RTL Nieuws op basis van eigen onderzoek.

Het beveiligingsprobleem was aanwezig in het Secvest-alarmsysteem van ABUS. Via internet blijkt het eenvoudig om kwetsbare alarmsystemen te achterhalen. Naast namen van de eigenaren tonen de systemen ip-adressen en soms ook woonadressen. ABUS werd begin november over de kwetsbaarheid ingelicht en bracht op 22 januari van dit jaar een firmware-update uit. In de release notes wordt echter nergens melding gemaakt van het verholpen beveiligingslek (pdf).

ABUS laat in een reactie aan RTL Nieuws weten dat "enkele installateurs" de informatie over de beschikbare firmware-update niet hebben ontvangen. Het bedrijf zegt vandaag opnieuw te beginnen met het communiceren over de update en dat het partners gericht zal informeren. Details over de onderliggende kwetsbaarheid waardoor het alarmsysteem kan worden aangevallen zijn niet openbaar gemaakt.

Update

Het onderzoek werd uitgevoerd door securitybedrijf EYE dat bijna 12.000 via internet toegankelijke alarmsystemen vond. In een blogpost deelt het bedrijf meer informatie over de kwetsbaarheid. Zo blijkt het mogelijk om zonder authenticatie toegang tot bepaalde scripts te krijgen. Verder blijkt het kan de configuratie van het alarmsysteem zonder enige authenticatie worden gedownload. Deze configuratie bevat een hex-encoded binair bestand met de gebruikersnaam en wachtwoord van alle gebruikers. Daarmee kan een aanvaller op de webinterface inloggen en volledige controle over het systeem krijgen.