8
Verwundbare ABUS Secvest-Alarmanlagen - oder: Warum manche Dinge nicht ungefiltert ins Internet gehören
Ich lege mal die Mail, die wir als Provider heute vom BSI erhalten haben, hier ab. Dann kann man drauf verweisen, falls man eine handfeste Argumentationsgrundlage braucht, die nicht nur auf Theorie basiert, warum bestimmte Dinge nur über eine ordentliche VPN-Verbindung und nicht direkt aus dem Internet erreichbar sein sollten:
Im Anhang dann eine Liste mit (zum Glück) nur einer einzelnen IP-Adresse.
Aber um auch das mal gezeigt zu haben:
Ja, auch den Port zu ändern bringt nichts. Wenn das BSI (resp. deren Datenlieferant, vermutlich Shodan) euch gefunden hat, haben andere das auch schon bemerkt
From: CERT-Bund Reports <reports@reports.cert-bund.de>
To: abuse@........
Subject: [CB-Report#20210423.....] Verwundbare ABUS Secvest Alarmanlagen in ASxxxxx
**************************
* Sicherheitsinformation *
**************************
Sehr geehrte Damen und Herren,
eine kritische Schwachstelle in veralteten Firmware-Versionen von
ABUS Secvest Funk-Alarmanlagen (CVE-2020-28973) ermöglicht einem
Angreifer, ohne Authentifizierung die Konfiguration einer Anlage
inklusive Benutzernamen und PINs auszulesen und damit die Anlage
beliebig zu manipulieren.
Betreiber dieser Anlagen sollten daher umgehend die vom Hersteller
bereitgestellte Firmware-Version 3.01.21 installieren, in welcher
die Schwachstelle geschlossen wurde.
CERT-Bund empfiehlt, den Zugriff auf die Anlagen aus dem Internet
zusätzlich über ein VPN abzusichern.
Weitere Informationen finden Sie unter:
<https://eye.security/nl/blog/breaking-abus-secvest-internet-connected-alarm-systems-cve-2020-28973>
Im Anhang senden wir Ihnen eine Liste von IP-Adressen in Ihrem
Netzbereich, unter denen zum angegebenen Zeitpunkt (Zeitstempel UTC)
offen aus dem Internet erreichbare ABUS Secvest Anlagen identifiziert
wurden, welche noch für die kritische Schwachstelle verwundbar sind.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und zeitnah
Maßnahmen zur Absicherung der betroffenen Systeme zu ergreifen
bzw. Ihre Kunden entsprechend zu informieren.
Mit freundlichen Grüßen
das Team CERT-Bund
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Referat OC25 - CERT-Bund
Godesberger Allee 185-189, 53175 Bonn, Germany
Im Anhang dann eine Liste mit (zum Glück) nur einer einzelnen IP-Adresse.
Aber um auch das mal gezeigt zu haben:
"asn","ip","timestamp","port","firmware_version"
"00000","a.b.c.45","2021-04-21 08:41:24","4433","3.01.17"
Ja, auch den Port zu ändern bringt nichts. Wenn das BSI (resp. deren Datenlieferant, vermutlich Shodan) euch gefunden hat, haben andere das auch schon bemerkt
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666058
Url: https://administrator.de/contentid/666058
Printed on: April 16, 2024 at 14:04 o'clock
8 Comments
Latest comment
Moin,
mich würde interessieren wie ihr mit den Meldungen vom Cert-Bund umgeht.
Leitet ihr diese immer an den Kunden weiter? Sperrt ihr nach Warnung den Anschluss?
Gruß
Spirit
mich würde interessieren wie ihr mit den Meldungen vom Cert-Bund umgeht.
Leitet ihr diese immer an den Kunden weiter? Sperrt ihr nach Warnung den Anschluss?
Gruß
Spirit
Weiterleiten: Ja
Sperren: Nein
Es kam schon vor, dass das BSI da vollkommen falsche Firmware-Versionen "erkannt" hat und da wäre dann der Kunde zu Recht sauer.
Aber es ist dann natürlich "aktenkundig" dass da was war und wenn dann echter Abuse losgeht, wird gesperrt.
Sperren: Nein
Es kam schon vor, dass das BSI da vollkommen falsche Firmware-Versionen "erkannt" hat und da wäre dann der Kunde zu Recht sauer.
Aber es ist dann natürlich "aktenkundig" dass da was war und wenn dann echter Abuse losgeht, wird gesperrt.
Okay, so handeln wir auch. Auffällig ist die derzeitige Häufigkeit solcher Meldungen.
Auf welche Mailadresse erhaltet Ihr solche Meldungen?
Mailadresse? Das BSI informiert, soweit ich weiß, nur Provider und denjenigen, dem der Adressbereich gehört.
Das BSI schreibt nur die Mailadressen aus der RIPE-Datenbank an. Konkret die, die im Abuse-C des Netzbereichs stehen und, wenn das abweichend ist, auch den Abuse-C der AS-Nummern aus den Route-Objects.
Moin,
man könnte den Titel auch ändern in "Warum man sich um Sicherheitsupdates für alle Geräte kümmern sollte die man mit dem Internet verbindent".
Die meisten Geräte werden doch nach dem Prinzip "Connect and Forget" installiert. Und das ist halt gefährlich.
Stefan
man könnte den Titel auch ändern in "Warum man sich um Sicherheitsupdates für alle Geräte kümmern sollte die man mit dem Internet verbindent".
Die meisten Geräte werden doch nach dem Prinzip "Connect and Forget" installiert. Und das ist halt gefährlich.
Stefan
Zitat von @LordGurke:
Ja, auch den Port zu ändern bringt nichts. Wenn das BSI (resp. deren Datenlieferant, vermutlich Shodan) euch gefunden hat, haben andere das auch schon bemerkt
Ja, auch den Port zu ändern bringt nichts. Wenn das BSI (resp. deren Datenlieferant, vermutlich Shodan) euch gefunden hat, haben andere das auch schon bemerkt
Das ist grundsätzlich richtig. Dennoch kann die Abänderung eines Standardports dazu führen, dass es unter dem neuen Port keine Portabfragen (mehr) gibt. Darin liegt ein gewisser Sicherheitsgewinn, wenn vielleicht auch nur auf Zeit. Freilich darf dann das "Gerät" nicht von sich aus auf Verdacht ins Internet "Hallo" rufen.
Zudem kann der Portwechsel aus anderen Gründen hilfreich / notwendig sein ...
Viele Grüße
HansDampf06