image

Alarmsysteem ABUS door kwetsbaarheid op afstand uit te schakelen

dinsdag 20 april 2021, 14:07 door Redactie, 4 reacties
Laatst bijgewerkt: 20-04-2021, 16:39

Een alarmsysteem van het Duitse merk ABUS is door een kwetsbaarheid op afstand uit te schakelen. Ook kan een aanvaller met de beveiligingscamera's meekijken. De fabrikant kwam in januari met een firmware-update, maar zowel klanten als installateurs weten niet dat die beschikbaar is. Daardoor lopen bijna driehonderd huizen en bedrijven in Nederland risico, zo meldt RTL Nieuws op basis van eigen onderzoek.

Het beveiligingsprobleem was aanwezig in het Secvest-alarmsysteem van ABUS. Via internet blijkt het eenvoudig om kwetsbare alarmsystemen te achterhalen. Naast namen van de eigenaren tonen de systemen ip-adressen en soms ook woonadressen. ABUS werd begin november over de kwetsbaarheid ingelicht en bracht op 22 januari van dit jaar een firmware-update uit. In de release notes wordt echter nergens melding gemaakt van het verholpen beveiligingslek (pdf).

ABUS laat in een reactie aan RTL Nieuws weten dat "enkele installateurs" de informatie over de beschikbare firmware-update niet hebben ontvangen. Het bedrijf zegt vandaag opnieuw te beginnen met het communiceren over de update en dat het partners gericht zal informeren. Details over de onderliggende kwetsbaarheid waardoor het alarmsysteem kan worden aangevallen zijn niet openbaar gemaakt.

Update

Het onderzoek werd uitgevoerd door securitybedrijf EYE dat bijna 12.000 via internet toegankelijke alarmsystemen vond. In een blogpost deelt het bedrijf meer informatie over de kwetsbaarheid. Zo blijkt het mogelijk om zonder authenticatie toegang tot bepaalde scripts te krijgen. Verder blijkt het kan de configuratie van het alarmsysteem zonder enige authenticatie worden gedownload. Deze configuratie bevat een hex-encoded binair bestand met de gebruikersnaam en wachtwoord van alle gebruikers. Daarmee kan een aanvaller op de webinterface inloggen en volledige controle over het systeem krijgen.

Reacties (4)
20-04-2021, 14:58 door Anoniem
Het is weer bewezen, fysieke veiligheid bedrijven hebben geen verstand van cybersecurity. Stop er een chip in en koppel het aan wifi, zigbee of bluetooth of iets anders en zet het op de markt, fancy folder erbij, beetje stunten met de prijs..... zonder goed testen, met foute implementatie van libraries, en zonder security en privacy by design en dan gewoon aan je huisnetwerk hangen....
Oh ja, installateurs zijn goed in stroomleidingen, gas water en licht.... maar niet goed in netwerksecurity, en zwijg maar over eindgebruikers / handige henkies.
20-04-2021, 16:09 door Anoniem
Er zijn inmiddels wat meer technische details beschikbaar: https://eye.security/en/blog/breaking-abus-secvest-internet-connected-alarm-systems-cve-2020-28973
20-04-2021, 22:40 door Anoniem
Het echte hacken is niet meer. Via Shodan een bepaald merk opzoeken, in een publicatie zetten en hup reputatie++. Ik snap niet dat leveranciers hun eigen spullen niet via Shodan zoeken. Ze komen pas in actie als er iets aan de hand is. Niet alleen Abus, maar ook alle anderen (Google, Microsoft, Siemens, Cisco you name it).
21-04-2021, 08:24 door spatieman
daar hebben ze toch email voor uitgevonden ,oh wacht ,die worden zeker niet gelezen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.