Verwundbare ABUS Secvest-Alarmanlagen - oder: Warum manche Dinge nicht ungefiltert ins Internet gehören
Ich lege mal die Mail, die wir als Provider heute vom BSI erhalten haben, hier ab. Dann kann man drauf verweisen, falls man eine handfeste Argumentationsgrundlage braucht, die nicht nur auf Theorie basiert, warum bestimmte Dinge nur über eine ordentliche VPN-Verbindung und nicht direkt aus dem Internet erreichbar sein sollten:
Im Anhang dann eine Liste mit (zum Glück) nur einer einzelnen IP-Adresse.
Aber um auch das mal gezeigt zu haben:
Ja, auch den Port zu ändern bringt nichts. Wenn das BSI (resp. deren Datenlieferant, vermutlich Shodan) euch gefunden hat, haben andere das auch schon bemerkt
From: CERT-Bund Reports <reports@reports.cert-bund.de>
To: abuse@........
Subject: [CB-Report#20210423.....] Verwundbare ABUS Secvest Alarmanlagen in ASxxxxx
**************************
* Sicherheitsinformation *
**************************
Sehr geehrte Damen und Herren,
eine kritische Schwachstelle in veralteten Firmware-Versionen von
ABUS Secvest Funk-Alarmanlagen (CVE-2020-28973) ermöglicht einem
Angreifer, ohne Authentifizierung die Konfiguration einer Anlage
inklusive Benutzernamen und PINs auszulesen und damit die Anlage
beliebig zu manipulieren.
Betreiber dieser Anlagen sollten daher umgehend die vom Hersteller
bereitgestellte Firmware-Version 3.01.21 installieren, in welcher
die Schwachstelle geschlossen wurde.
CERT-Bund empfiehlt, den Zugriff auf die Anlagen aus dem Internet
zusätzlich über ein VPN abzusichern.
Weitere Informationen finden Sie unter:
<https://eye.security/nl/blog/breaking-abus-secvest-internet-connected-alarm-systems-cve-2020-28973>
Im Anhang senden wir Ihnen eine Liste von IP-Adressen in Ihrem
Netzbereich, unter denen zum angegebenen Zeitpunkt (Zeitstempel UTC)
offen aus dem Internet erreichbare ABUS Secvest Anlagen identifiziert
wurden, welche noch für die kritische Schwachstelle verwundbar sind.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und zeitnah
Maßnahmen zur Absicherung der betroffenen Systeme zu ergreifen
bzw. Ihre Kunden entsprechend zu informieren.
Mit freundlichen Grüßen
das Team CERT-Bund
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Referat OC25 - CERT-Bund
Godesberger Allee 185-189, 53175 Bonn, Germany
Im Anhang dann eine Liste mit (zum Glück) nur einer einzelnen IP-Adresse.
Aber um auch das mal gezeigt zu haben:
"asn","ip","timestamp","port","firmware_version"
"00000","a.b.c.45","2021-04-21 08:41:24","4433","3.01.17"
Ja, auch den Port zu ändern bringt nichts. Wenn das BSI (resp. deren Datenlieferant, vermutlich Shodan) euch gefunden hat, haben andere das auch schon bemerkt
Please also mark the comments that contributed to the solution of the article
Content-ID: 666058
Url: https://administrator.de/contentid/666058
Printed on: October 15, 2024 at 02:10 o'clock
8 Comments
Latest comment
Mailadresse? Das BSI informiert, soweit ich weiß, nur Provider und denjenigen, dem der Adressbereich gehört.
Zitat von @LordGurke:
Ja, auch den Port zu ändern bringt nichts. Wenn das BSI (resp. deren Datenlieferant, vermutlich Shodan) euch gefunden hat, haben andere das auch schon bemerkt
Ja, auch den Port zu ändern bringt nichts. Wenn das BSI (resp. deren Datenlieferant, vermutlich Shodan) euch gefunden hat, haben andere das auch schon bemerkt
Das ist grundsätzlich richtig. Dennoch kann die Abänderung eines Standardports dazu führen, dass es unter dem neuen Port keine Portabfragen (mehr) gibt. Darin liegt ein gewisser Sicherheitsgewinn, wenn vielleicht auch nur auf Zeit. Freilich darf dann das "Gerät" nicht von sich aus auf Verdacht ins Internet "Hallo" rufen.
Zudem kann der Portwechsel aus anderen Gründen hilfreich / notwendig sein ...
Viele Grüße
HansDampf06