![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Es ist keine sonderlich sch\u00f6ne Vorstellung – die teure Alarmanlage von ABUS kann von Angreifern schlicht remote deaktiviert werden. Hintergrund ist, dass offenbar Tausende ABUS Secvest Funk-Alarmanlagen mit veralteter Firmware betrieben und nicht aktualisiert wurden. Dadurch kommt ein Patch, der eine kritische Schwachstelle (CVE-2020-28973) in der Authentifizierung schlie\u00dft, nicht auf die Ger\u00e4te – und diese k\u00f6nnen von Angreifern \u00fcbernommen werden.<\/p>\n
<\/p>\n
Die ABUS Secvest ist eine Funkalarmanlage, die an Verbraucher und kleine Unternehmen vermarktet wird. Die Anlage wird in der Regel von einer spezialisierten Firma installiert und eingerichtet, ein Secvest FUAA50000 Controller kostet etwa 400 Euro. Ein typischer Einsatz mit Bewegungsmeldern, einer Sirene und T\u00fcr-\/Fenstersensoren kann Tausende von Euros kosten.<\/p>\n Die Alarmanlage kann \u00fcber die Alarmzentrale, ein Web-Interface oder \u00fcber die Secvest-App (iPhone oder Android) gesteuert werden. \u00dcber die App kann der Benutzer den Status der Alarmanlage sehen und den Alarm ein- oder ausschalten. Gerade die letztgenannten Funktionen d\u00fcrften viele Nutzer, die vor allem in Deutschland (10.184), den Niederlande und in anderen europ\u00e4ischen L\u00e4ndern sitzen, begeistern. Um das System \u00fcber eine App oder ein Webinterface zu steuern, muss das Alarmsystem mit dem Internet verbunden sein und ein HTTPS-Port (standardm\u00e4\u00dfig 4433) an das System weitergeleitet werden. Schlechte Idee, wenn es in der Firmware der Alarmanlage Schwachstellen gibt, die ein Angreifer ausnutzen kann, um auf die Alarmzentrale zuzugreifen. <\/p>\n Der Zugriff auf die Alarmzentrale ist im Web-Interface oder \u00fcber die Secvest-App zwar per Benutzername und Kennwort abgesichert. Aber die Nutzerschaft ist da sehr kreativ in der Vergabe dieser Zugangsdaten. L\u00e4sst sich aber noch toppen, wenn nicht mal Zugangsdaten erforderlich werden, um auf die Alarmzentrale zuzugreifen. <\/p>\n Niels Teusink von der niederl\u00e4ndischen Sicherheitsfirma Eye Security hat sich die Anlage voriges Jahr genauer angesehen und ist auf eine Authentifizierungsschwachstelle in ABUS Secvest-Alarmanlagen gesto\u00dfen. Die Schwachstelle steckte im Web-Administrationspanel des Alarmsystems, auf das Kunden per Browser oder \u00fcber die mobile App zugreifen, um die Secvest-Systeme zu steuern.<\/p>\n Obwohl die HTTPS-Anfrage zum Deaktivieren des Systems eine Authentifizierung erfordert, lassen sich viele andere Anfragen ohne jegliche Authentifizierung ausf\u00fchren. Im Oktober hat Teusink dann ABUS \u00fcber diese Schwachstelle informiert – und das Ganze, samt Details zur Schwachstelle, vor einigen Tagen in diesem Blog-Beitrag<\/a> \u00f6ffentlich gemacht. ABUS selbst hatte bereits im Januar 2021 ein Firmware-Update auf die Version 3.01.21<\/strong> freigegeben, um diese Schwachstelle zu schlie\u00dfen.<\/p>\n Das Problem: Obwohl eine Firmware-Version vorliegt, die die Schwachstelle schlie\u00dft, installieren die Kunden dieses Update nicht. CERT-Bund schl\u00e4gt nun Alarm und hat per E-Mail \u00fcber den Sachverhalt informiert. <\/p>\n From: CERT-Bund Reports <reports@reports.cert-bund.de> ************************** Sehr geehrte Damen und Herren,<\/p>\n eine kritische Schwachstelle in veralteten Firmware-Versionen von Betreiber dieser Anlagen sollten daher umgehend die vom Hersteller CERT-Bund empfiehlt, den Zugriff auf die Anlagen aus dem Internet Weitere Informationen finden Sie unter: Im Anhang senden wir Ihnen eine Liste von IP-Adressen in Ihrem Wir m\u00f6chten Sie bitten, den Sachverhalt zu pr\u00fcfen und zeitnah Mit freundlichen Gr\u00fc\u00dfen Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) Bei administrator.de wurde nur eine Anlage genannt – heise schreibt hier<\/a>, dass man auf Anhieb weitere Anlagen mit verwundbarer Firmware gefunden habe. Das BSI schreibt in nachfolgendem Tweet<\/a> von mehreren Tausend betroffenen Anlagen in Deutschland und hat die Provider \u00fcber 6.000 F\u00e4lle informiert). <\/p>\n Wer also mit einer ABUS Secvest Funk-Alarmanlage zu tun hat, sollte mal schauen, ob die auf dem aktuellen Firmware-Stand ist. Denn ABUS installiert Firmware-Updates nicht automatisch – wie heise hier<\/a> nach einem Hinweis des Herstellers schreibt. Ist das alte Problem: Das Zeugs wird zwar flei\u00dfig eingebaut – aber keiner macht sich einen Kopf darum, dass das Zeug aktuell zu halten ist und nach wenigen Jahren schlicht softwaretechnisch aus dem Support heraus f\u00e4llt. Wenn die Firma, die die Anlagen montiert und wartet oder eine Anlage aus dem Wartungszyklus herausgefallen ist, sieht es d\u00fcster aus. <\/p>\n Das Thema wird in Zukunft noch zunehmen – in alten Krimis haben die Ganoven noch lohnende Ziele ausgekundschaftet und dann einen Spezialisten hinzugezogen, der die Alarmanlage mit einem Seitenschneider tot gelegt hat. In modernerer Filmen gab es dann ein elektronisches K\u00e4stle, welches \u00fcber einen Anschluss an ein Board die Codes zum Zugriff auf die Alarmanlage lieferte und sie so abschaltbar machte. Aktuell m\u00fcssen die Ganoven nur noch Shodan bedienen und einige Curl-Befehle eintippen k\u00f6nnen, um die Anlagen abschalten zu k\u00f6nnen. <\/p>\n \u00c4hnliche Artikel<\/strong> Sicherheit: Digitale Assistenten unterm Weihnachtsbaum<\/a> Es ist keine sonderlich sch\u00f6ne Vorstellung – die teure Alarmanlage von ABUS kann von Angreifern schlicht remote deaktiviert werden. Hintergrund ist, dass offenbar Tausende ABUS Secvest Funk-Alarmanlagen mit veralteter Firmware betrieben und nicht aktualisiert wurden. Dadurch kommt ein Patch, der … Weiterlesen Das Thema liegt bereits einige Tage bei mir auf der Liste mit Blog-Themen – allerdings ist die Schwachstelle bereits seit Oktober 2020 bekannt. Ich bin einmal bei den Kollegen von administrator.de in diesem Post<\/a> auf dem Thema gesto\u00dfen (CERT-Bund hat eine Warnung rum geschickt). Aber auch Catalin Cimpanu hat es die Tage hier<\/a> aufgegriffen und die Kollegen von heise sind auch dran<\/a>. Ob man das als Security-GAU bezeichnet, wenn Leute Sicherheitstechnik auf Digitalbasis einsetzen, das Zeugs aber nicht updaten, muss jeder selbst f\u00fcr sich entscheiden.<\/p>\n
ABUS Secvest Funkalarmanlage<\/h2>\n
ABUS Secvest Authentifizierungsschwachstelle<\/h2>\n
Kunden aktualisieren nicht<\/h2>\n
\n
To: abuse@……..
Subject: [CB-Report#20210423…..] Verwundbare ABUS Secvest Alarmanlagen in ASxxxxx<\/p>\n
* Sicherheitsinformation *
**************************<\/p>\n
ABUS Secvest Funk-Alarmanlagen (CVE-2020-28973) erm\u00f6glicht einem
Angreifer, ohne Authentifizierung die Konfiguration einer Anlage
inklusive Benutzernamen und PINs auszulesen und damit die Anlage
beliebig zu manipulieren.<\/p>\n
bereitgestellte Firmware-Version 3.01.21 installieren, in welcher
die Schwachstelle geschlossen wurde.<\/p>\n
zus\u00e4tzlich \u00fcber ein VPN abzusichern.<\/p>\n
<https:\/\/eye.security\/nl\/blog\/breaking-abus-secvest-internet-connected-alarm-systems-cve-2020-28973<\/a>><\/p>\n
Netzbereich, unter denen zum angegebenen Zeitpunkt (Zeitstempel UTC)
offen aus dem Internet erreichbare ABUS Secvest Anlagen identifiziert
wurden, welche noch f\u00fcr die kritische Schwachstelle verwundbar sind.<\/p>\n
Ma\u00dfnahmen zur Absicherung der betroffenen Systeme zu ergreifen
bzw. Ihre Kunden entsprechend zu informieren.<\/p>\n
das Team CERT-Bund<\/p>\n
Referat OC25 – CERT-Bund
Godesberger Allee 185-189, 53175 Bonn, Germany<\/p>\n<\/blockquote>\n![\"BSI-Warnung](\"https:\/\/i.imgur.com\/EUrADJB.png\"\/ "\\"BSI-Warnung")
<\/a><\/p>\n
US-Polizei kann auf Amazon Ring-Videos zugreifen<\/a>
Sicherheitsl\u00fccke in Ring Video Doorbell Pro verr\u00e4t WLAN-Daten<\/a>
Sicherheitsl\u00fccke in T\u00fcrklingel von Amazon-Tochter Ring<\/a>
Amazons Ring-Kameras gehackt<\/a>
Ring-Kamera-Schwachstellen und die Tech-Sites<\/a> <\/p>\n
Europ\u00e4ischer Datenschutztag 2020: Risiko Internet der Dinge<\/a>
EFF: Ring Doorbell-App teilt Nutzerdaten mit Dritten<\/a>
Nationale Sicherheit: USA verbannen IoT-Produkte von f\u00fcnf OEM-Herstellern<\/a>
Sicherheitsrisiko Internet of Things (IoT)<\/a>
Sicherheitsl\u00fccke in Amazon FreeRTOS IoT-Betriebssystem<\/a>
Bugs im Samsung IoT Hub gef\u00e4hrden Smart Home-Sicherheit<\/a>
IT-Sicherheit: Alles kaputt?<\/a>
Cyber-Sicherheit: Die Trends f\u00fcr 2021<\/a>
IoT Inspector und die 7.339 Schwachstellen unter dem Weihnachtsbaum<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"