c’t deckt auf: Security-GAU bei Abus-Alarmanlagen
Wenn Sicherheitstechnik zum Sicherheitsrisiko wird: Tausende Abus-Alarmanlagen sind Hackern wehrlos ausgeliefert. Was Betroffene jetzt tun sollen.
c’t Magazin Von
- Ronald Eikenberg
Erneut wurde eine gefährliche Sicherheitslücke in der vernetzten Alarmanlage Secvest FUAA50000 von Abus entdeckt. Über eine bestimmte URL liefert die Alarmzentrale ohne Authentifizierung ihre Gerätekonfiguration aus – einschließlich der zur Konfiguration nötigen Admin-PIN. Auch hinterlegte Telefonnummern, Nutzernamen, Ereignisse und Informationen über die eingesetzten Komponenten sind Teil der ausgelieferten Datei. Wer will, kann damit das System deaktivieren, umkonfigurieren oder einen Alarm auslösen.
Betroffen ist die Funkalarmanlage Abus Sevcest FUAA50000.
Entdeckt hat die Lücke der Sicherheitsexperte Niels Teusink von Eye Security. Er kontaktierte Abus nach eigenen Angaben bereits im Oktober vergangenen Jahres, um auf die gefährliche Schwachstelle aufmerksam zu machen. Im November gelang es Abus laut Teusink, das Problem nachzuvollziehen und im Januar des laufenden Jahres erschien schließlich ein Firmware-Update, das die Lücke abdichten soll. Um niemanden unnötig in Gefahr zu bringen, wartete Teusink noch bis vor wenigen Tagen, ehe er sich mit seinem Fund an die Öffentlichkeit wandte.
Gefahr erkannt, aber nicht gebannt
Mit dem Firmware-Update auf Version 3.01.21 konnte Abus das Problem offensichtlich nicht in den Griff bekommen: Laut Teusink ist die abgesicherte Firmware bislang nur auf etwa 10 Prozent der rund 10.000 Secvest-Alarmanlagen in Deutschland angekommen, die aus dem Internet erreichbar sind. Das bedeutet im Umkehrschluss, dass derzeit mutmaßlich noch tausende Alarmsysteme kinderleicht über das Internet kompromittierbar sind.
Um den Ernst der Lage einschätzen zu können, hat c't mit Hilfe von heise Security stichprobenartig nach verwundbaren Secvest-Anlagen gescannt. Tatsächlich gelang es uns, innerhalb kurzer Zeit hunderte Alarmanlagen mit veralteter Firmware aufzuspüren, die bereitwillig ihre Gerätekonfiguration ausliefern. In Anbetracht der Tatsache, dass das Firmware-Update bereits vor drei Monaten erschienen ist, ist der Anteil der nach wie vor anfälligen Systeme erschreckend hoch.
Sofort updaten!
Das wichtige Firmware-Update kann dazu führen, dass die Alarmanlage auf Werkeinstellungen zurückfällt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von knapp 6000 verwundbaren Secvest-Alarmanlagen, die aus dem Internet erreichbar sind. Das BSI hat die Provider der Abus-Kunden über die gefährliche Lage informiert. Üblicherweise wenden sich die Provider anschließend an die betroffenen Kunden, damit diese geeignete Schutzmaßnahmen treffen können.
Wer eine betroffene Secvest-Anlage betreibt, sollte umgehend sicherstellen, dass darauf die aktuelle Firmware 3.01.21 installiert ist. In den Release Notes des Updates rät Abus dringend dazu, die Konfiguration vor der Aktualisierung zu sichern, da es möglich ist, dass die Alarmanlage beim Update auf Werkseinstellungen zurückfällt. Das BSI empfiehlt darüber hinaus, die Anlagen nicht direkt übers Internet erreichbar zu machen, sondern stattdessen eine VPN-Verbindung zu nutzen, sofern ein Fernzugriff notwendig ist.
Seit dem Jahr 2016 wurden bereits zahlreiche Sicherheitslücken in der Secvest-Alarmanlage oder ihren Komponenten bekannt. Die Lücken ließen sich nicht nur über das Internet ausnutzen, sondern auch per Funk. Wir haben uns mit einigen konkreten Fragen an Abus gewandt und werden den Artikel aktualisieren, sobald wir eine Rückmeldung erhalten.
Update vom 30. April 2021, 12:45: Inzwischen liegt c't eine Stellungnahme von Abus zu dem Fall vor. Eine automatische Installation des Updates durch die Alarmzentralen werde "aufgrund normativer Anforderungen" nicht durchgeführt.
Die aktuelle Situation sei darauf zurückzuführen, dass der Hinweis auf das wichtige Firmware-Update nicht bei allen Alarmanlagen-Errichtern angekommen ist, die für die Installation und Wartung der Geräte zuständig sind. "Wir stehen deshalb in engem Austausch mit unseren Partnern und weisen ausdrücklich darauf hin, dass es dringend erforderlich ist, alle Secvest Systeme entsprechend upzudaten", erklärt das Unternehmen.
Unsere Frage, ob die Secvest-Anlagen und -Komponenten einem unabhängigen Security-Audit unterzogen wurden, blieb unbeantwortet. (rei)
Quelle: www.heise.de