lordgurke
Goto Top

Verwundbare ABUS Secvest-Alarmanlagen - oder: Warum manche Dinge nicht ungefiltert ins Internet gehören

Ich lege mal die Mail, die wir als Provider heute vom BSI erhalten haben, hier ab. Dann kann man drauf verweisen, falls man eine handfeste Argumentationsgrundlage braucht, die nicht nur auf Theorie basiert, warum bestimmte Dinge nur über eine ordentliche VPN-Verbindung und nicht direkt aus dem Internet erreichbar sein sollten:


From: CERT-Bund Reports <reports@reports.cert-bund.de>
To: abuse@........
Subject: [CB-Report#20210423.....] Verwundbare ABUS Secvest Alarmanlagen in ASxxxxx

**************************
* Sicherheitsinformation *
**************************

Sehr geehrte Damen und Herren,

eine kritische Schwachstelle in veralteten Firmware-Versionen von
ABUS Secvest Funk-Alarmanlagen (CVE-2020-28973) ermöglicht einem
Angreifer, ohne Authentifizierung die Konfiguration einer Anlage
inklusive Benutzernamen und PINs auszulesen und damit die Anlage
beliebig zu manipulieren.

Betreiber dieser Anlagen sollten daher umgehend die vom Hersteller
bereitgestellte Firmware-Version 3.01.21 installieren, in welcher
die Schwachstelle geschlossen wurde.

CERT-Bund empfiehlt, den Zugriff auf die Anlagen aus dem Internet 
zusätzlich über ein VPN abzusichern.

Weitere Informationen finden Sie unter:
<https://eye.security/nl/blog/breaking-abus-secvest-internet-connected-alarm-systems-cve-2020-28973>

Im Anhang senden wir Ihnen eine Liste von IP-Adressen in Ihrem
Netzbereich, unter denen zum angegebenen Zeitpunkt (Zeitstempel UTC)
offen aus dem Internet erreichbare ABUS Secvest Anlagen identifiziert
wurden, welche noch für die kritische Schwachstelle verwundbar sind.

Wir möchten Sie bitten, den Sachverhalt zu prüfen und zeitnah
Maßnahmen zur Absicherung der betroffenen Systeme zu ergreifen
bzw. Ihre Kunden entsprechend zu informieren.

Mit freundlichen Grüßen
das Team CERT-Bund

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Referat OC25 - CERT-Bund
Godesberger Allee 185-189, 53175 Bonn, Germany


Im Anhang dann eine Liste mit (zum Glück) nur einer einzelnen IP-Adresse.
Aber um auch das mal gezeigt zu haben:

"asn","ip","timestamp","port","firmware_version"
"00000","a.b.c.45","2021-04-21 08:41:24","4433","3.01.17"

Ja, auch den Port zu ändern bringt nichts. Wenn das BSI (resp. deren Datenlieferant, vermutlich Shodan) euch gefunden hat, haben andere das auch schon bemerkt face-wink

Content-ID: 666058

Url: https://administrator.de/knowledge/verwundbare-abus-secvest-alarmanlagen-oder-warum-manche-dinge-nicht-ungefiltert-ins-internet-gehoeren-666058.html

Ausgedruckt am: 26.12.2024 um 10:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 23.04.2021 um 20:28:24 Uhr
Goto Top
Moin,

mich würde interessieren wie ihr mit den Meldungen vom Cert-Bund umgeht.
Leitet ihr diese immer an den Kunden weiter? Sperrt ihr nach Warnung den Anschluss?

Gruß
Spirit
LordGurke
LordGurke 23.04.2021 um 20:47:26 Uhr
Goto Top
Weiterleiten: Ja
Sperren: Nein

Es kam schon vor, dass das BSI da vollkommen falsche Firmware-Versionen "erkannt" hat und da wäre dann der Kunde zu Recht sauer.
Aber es ist dann natürlich "aktenkundig" dass da was war und wenn dann echter Abuse losgeht, wird gesperrt.
Spirit-of-Eli
Spirit-of-Eli 23.04.2021 um 23:12:41 Uhr
Goto Top
Okay, so handeln wir auch. Auffällig ist die derzeitige Häufigkeit solcher Meldungen.
bastian23
bastian23 24.04.2021 um 13:43:46 Uhr
Goto Top
Auf welche Mailadresse erhaltet Ihr solche Meldungen?
Spirit-of-Eli
Spirit-of-Eli 24.04.2021 um 14:14:52 Uhr
Goto Top
Zitat von @bastian23:

Auf welche Mailadresse erhaltet Ihr solche Meldungen?
Mailadresse? Das BSI informiert, soweit ich weiß, nur Provider und denjenigen, dem der Adressbereich gehört.
LordGurke
LordGurke 24.04.2021 um 19:54:39 Uhr
Goto Top
Das BSI schreibt nur die Mailadressen aus der RIPE-Datenbank an. Konkret die, die im Abuse-C des Netzbereichs stehen und, wenn das abweichend ist, auch den Abuse-C der AS-Nummern aus den Route-Objects.
StefanKittel
StefanKittel 26.04.2021 um 08:34:09 Uhr
Goto Top
Moin,

man könnte den Titel auch ändern in "Warum man sich um Sicherheitsupdates für alle Geräte kümmern sollte die man mit dem Internet verbindent".

Die meisten Geräte werden doch nach dem Prinzip "Connect and Forget" installiert. Und das ist halt gefährlich.

Stefan
HansDampf06
HansDampf06 27.04.2021 um 11:01:25 Uhr
Goto Top
Zitat von @LordGurke:

Ja, auch den Port zu ändern bringt nichts. Wenn das BSI (resp. deren Datenlieferant, vermutlich Shodan) euch gefunden hat, haben andere das auch schon bemerkt face-wink

Das ist grundsätzlich richtig. Dennoch kann die Abänderung eines Standardports dazu führen, dass es unter dem neuen Port keine Portabfragen (mehr) gibt. Darin liegt ein gewisser Sicherheitsgewinn, wenn vielleicht auch nur auf Zeit. Freilich darf dann das "Gerät" nicht von sich aus auf Verdacht ins Internet "Hallo" rufen.

Zudem kann der Portwechsel aus anderen Gründen hilfreich / notwendig sein ...

Viele Grüße
HansDampf06