Nederlandse onderzoeker vindt kritiek lek in Fibaro-domoticasysteem

De Nederlandse DearBytes-onderzoeker Wesley Neelen heeft lekken in het Home Center 2 en lite van Fibaro ontdekt, waarmee kwaadwillenden op afstand willekeurige code konden uitvoeren. Er is inmiddels een patch uitgekomen. Ook Domoticz dichtte door de onderzoeker gevonden lekken.

Neelen schrijft dat de Fibaro-kwetsbaarheden het mogelijk maakten om via de webinterface roottoegang te verkrijgen. Hij onderzocht een fysiek exemplaar van het Home Center 2, waarbij bleek dat het een x86-computer is met het besturingssysteem op een usb-drive. De onderzoeker was in staat om via command injection beperkte rechten op het systeem te verkrijgen. Vervolgens was het via een geprepareerde update mogelijk om de rechten te verhogen naar root.

De applicatie stelde een php-pagina beschikbaar zonder authenticatie. Deze pagina valideerde invoer onvoldoende voordat deze in een een php-systemcall werd gebruikt. Deze injectie leverde beperkte rechten op. Vervolgens was het mogelijk om de rechten te verhogen, door een update-bestand te voorzien van een reverse shell. Door een handmatige update uit te voeren was het mogelijk om de shell op deze manier met rootrechten te draaien. Neelen zegt tegen Tweakers dat hij in staat was om ongeveer 185 Home Centers via zoekmachine Shodan te vinden. Zo kon hij deze overnemen en bijvoorbeeld dezelfde acties uitvoeren die een normale gebruiker ook kon uitvoeren.

Uit de website van de fabrikant blijkt dat de software gebruikt kan worden om bijvoorbeeld camera's, thermostaten, alarmsystemen en mediaspelers aan te sturen. De onderzoeker zegt dan ook dat het via internet toegankelijk maken van de webinterface van een domoticacontroller de nodige risico's met zich meebrengt. Door gebruik te maken van een vpn zou dit bijvoorbeeld verholpen kunnen worden. Ook netwerksegmentatie zou aan te raden zijn, zodat er geen verdere weg het netwerk in bestaat. Hij vond via internet ook andere systemen, waaronder verkeerd geconfigureerde en daardoor open Domoticz-installaties, zo vertelt hij. Ook trof hij mqtt-services aan waarbij te zien was of een bedrijf het alarm aan had staan en of er mensen aanwezig waren.

Neelen meldde de kwetsbaarheden eind februari aan de fabrikant. Vervolgens gebeurde er niets totdat hij in juni iemand van het management sprak via LinkedIn. Aan het eind van die maand was de patch uiteindelijk klaar, waarna Neelen in juli kon verifiëren dat de lekken inderdaad waren gedicht. De patch kwam ongeveer een week geleden uit. Neelen onderzocht ook Domoticz op lekken en trof onder meer een sql-injectielek en een buffer overflow aan, die snel werden verholpen.

Reacties (36)

retc 27 september 2017 14:04

ik heb zo'n home center 2 en kan uit ervaring vertellen dat je dat ding
a) in het zelfde netwerksegment wil hebben zitten als je camera's, tv, hue, sonos en dergelijke. Je kan als die apparaten in een apart vlan stoppen, maar dan is het een gedoe om de api's aan te roepen in scripts.

b) niet publiceert richting internet. je kan natuurlijk altijd een port forwarden richting de domotica controller, maar dat is in het geval van Fibaro niet nodig om het op afstand te kunnen bedienen. Ze bieden namelijk een online portaal aan (home.fibaro.com) waarop je eerst met een fibaro-username + ww moet inloggen, om vervolgens jouw fibaro controller te selecteren en pas dan kun je inloggen met de inlogpagina van de controller (die dus zo lek als een mandje blijkt).
(in mijn geval staat die optie uit, en benader ik mn toepassingen waaronder huisautomatisering via vpn)

AJediIAm @retc • 27 september 2017 15:30

Ik bestuur mijn fibaro spul met Homey. Homey is wat meer gericht op de automatisering dan de remote aansturing. Toegang via buiten werkt ongeveer het zelfde, maar volgens mij is hun Linux versie wat meer up-to-date.

mati1983 @AJediIAm • 27 september 2017 16:20

Beide zijn echt prima producten. Snap je opmerking niet helemaal dat Homey meer gericht zou zijn op de automatisering dan de remote aansturing? Zowel de Homey als de HC2/HC-l hebben toch echt als primair doel om een gateway te vormen voor je domotica..?

AJediIAm @mati1983 • 27 september 2017 18:05

Homey heeft nog geen echte goede smartphone app. Fibaro HC ziet er volgens mij best goed uit in de app. Daartegenover staat dat de homey flows best eenvoudig en krachtig zijn. Veel homey gebruikers laten het dus autonoom draaien met weinig directe interactie via de app.
Ik wist niet dat HC ook gescript kon worden. De bediening lijkt me het primaire verkooppunt van HC2.

mati1983 @AJediIAm • 28 september 2017 09:27

De kracht van domotica is/zou moeten zijn dat het autonoom werkt en dat je een app alleen opstart wanneer je iets niet-standaards wilt doen, of je nu een zwave, knx, creston of wat voor oplossing dan ook hebt draaien. Wel ben ik het met je eens dat de app van Fibaro er mooier uit ziet dan die van Homey.

Op de HC2 van Fibaro kun je absoluut scripten; lua. Ik doe dagelijks niet anders. Sterker nog, ik kan op m'n HC2 dingen die ik op m'n Homey niet kan.. :-)

AJediIAm @mati1983 • 28 september 2017 10:10

Eens.
Weer wat geleerd over HC2.
Homey heeft tegenwoordig ook scripts

retc @AJediIAm • 27 september 2017 16:04

Mooi ding inderdaad. Die Homey bestond nog niet toen ik ermee aan de slag ging.
De scriptmogelijkheden van de fibaro zijn voor mij perfect (gaan volgens mij ook verder dan de Homey), maar de interface is echt een draak. Daar steekt de Homey met kop en schouders boven de HC2 uit.

de remote aansturing heb ik zelf niet zo veel mee: ik heb de mogelijkheid via VPN denk ik hooguit 1x per jaar "nodig". veel interessanter criterium vind ik de mogelijkheid om de domotica-controller met api's te kunnen uitlezen/aansturen. Daarmee heb ik intussen een heel eigen interface kunnen bouwen waarin netatmo, fibaro switches, hue en noem maar op zijn geintegreerd. (sonos en evohome staatn nog op de planning)

stefanwitkamp @retc • 29 september 2017 14:50

Tegenwoordig kan Homey met Homeyscript anders ook minstens zoveel als Fibaro: https://apps.athom.com/app/com.athom.homeyscript

Sepio 27 september 2017 17:13

Op de site van de onderzoeker staat in welke Patch dit opgelost is.
For Fibaro users, install the new Fibaro update 4.140 to patch the vulnerability.

KWOAD

27 september 2017 10:15

Bij netwerksegmentatie hebben andere apparatuur in je netwerk (zoals hue of Kodi) toch ook geen verbinding meer met de domoticaserver zoals Figaro hc?

Peetz0r @KWOAD • 27 september 2017 10:26

Ligt er natuurlijk helemaal aan hoe de die segmentatie toepast. Als je ervoor kiest om je Fibaro Home Center in een ander segment te zetten dan je Philips Hue lampen, dan kan je die niet elkaar laten aansturen.

Maar wat veel voor de hand liggender is, is dat je die dingen juist wel samen in een segment zet, en andere belangrijke devices (pc's, nas, etc) in een ander segment zet. Nu wordt het natuurlijk lastig om je domotica-devices aan te sturen vanaf de pc, die je juist wilt beschermen tegen dit soort lekken.

Een router ertussen die de segmenten aan elkaar knoopt, met een firewall die alleen specifieke soorten verkeer toelaat klinkt als een optie, maar als ik goed lees werkt deze hele exploit via http verkeer, dus als je alles behalve http zou blokkeren op die firewall (wat de meest voor de hand liggende optie is), dan voorkom je alsnog niet bovenstaand lek...

tl;dr Ja, netwerksegmentatie kan helpen, maar in praktijk soms ook niet.

jDuke @Peetz0r • 27 september 2017 11:48

Wat ik doe is dat vanuit het domitica netwerk (onveilig) netwerk firewall rules opzetten zodat deze geen connectie kunnen opzetten naar een ander netwerk segment. Andersom is er wel beperkt toegang mogelijk. Het is dus wel mogelijk vanuit een ander netwerk segment de http interface aan te roepen of SSH toegang te krijgen tot de domotica server, maar vanaf de domotica server is het niet mogelijk om connecties op te zetten naar andere segmenten, de firewall blokkeert deze. Al hangt mijn domotica server niet rechtstreek op het internet, mocht er om wat voor reden toch toegang verschaft zijn tot deze server kan deze niet doorspringen naar een ander segment. Wat je wel hebt is als er vanuit een ander segment (LAN devices) toegang is verschaft je wel bij de domotica server bij kunt komen maar dat lijkt me logisch...

CopyCatz @Peetz0r • 27 september 2017 11:35

De apparaten die worden aangestuurd zijn doorgaans niet tcpip based maar zijn andere protocollen zoals z-wave en zigbee. Die zijn van nature al gesegmenteerd ware het niet dat je met toegang tot een home controller meteen toegang hebt tot die devices (in de zin van besturen).

Persoonlijk gebruik ik steeds vaker mobiele apps om mijn controller aan te sturen waardoor het wat makkelijker wordt om de controller zelf te isoleren en buitenom te benaderen; thuis gebruik ik z-wave switches, event logic en scripts om te boel aan te sturen, buitenshuis zit ik via een app op 4G op de controller in een apart segment.

[Reactie gewijzigd door CopyCatz op 23 juli 2024 20:40]

Zer0 @CopyCatz • 27 september 2017 11:59

De apparaten die worden aangestuurd zijn doorgaans niet tcpip based maar zijn andere protocollen zoals z-wave en zigbee

Er zijn nog steeds veel TCP/IP based apparatuur die aangestuurd wordt, zoals Hue (via de bridge) Weemo, Nest etc etc.

NIK0 @Peetz0r • 27 september 2017 12:52

Alles ontsluiten middels netwerksegmentatie is met de vele connectie mogelijkheden van verschillende leveranciers een utopie op dit moment.
Had zelf ook alles netjes apart in vlans gezet maar dan krijg je 1 apparaat wat alleen gevonden kan worden met een broadcast ipv direct verkeer en daar gaat je vlan segmentatie.

Beste oplossing die ik tot nu heb heb gevonden is idd alles wat je middels domotica wilt besturen en apparaten die je nodig hebt bij het besturen ervan, bij elkaar zetten in 1 vlan en de rest van je netwerk segmenten (printers, lan etc) zoveel mogelijk afscheiden.

[Reactie gewijzigd door NIK0 op 23 juli 2024 20:40]

Zer0 @KWOAD • 27 september 2017 10:22

Er zal toch een verbinding moeten zijn als je via de Home Center, Domoticz of andere controller de verschillende apparatuur zoals Hue en Kodi aan wilt sturen. Ook van je desktops/laptops/tablets/telefoons hebben een verbinding naar de controller nodig als je hem aan wilt sturen of aanpassingen wil maken.

KWOAD

@Zer0 • 27 september 2017 11:53

Precies mijn punt. Er moet een verbinding zijn. Er zijn in mijn huishouden maar weinig apparaten die je kunt uitsluiten, ook omdat ik bijvoorbeeld mijn domoticaserver gebruik om mijn netwerkapparaten te monitoren. Ik krijg bijvoorbeeld een melding als mijn rookalarm af gaat, maar ook als mijn omvormer opeens geen netwerkverbinding meer heeft. In die gevallen werkt netwerksegmentatie niet.

mrdemc @KWOAD • 27 september 2017 11:09

Ik denk dat er bedoeld wordt dat je alle domotica in een apart netwerk stopt en dan vanuit het andere netwerk (waarin dan je mobiel, tablet, laptop, pc zitten) een firewall ertussen hebt zitten. Dan kun je vanaf daar puur de poort 443 openzetten naar een interface en richting het thuisnetwerk niets openen. Dan kan er namelijk vanaf een kwetsbare domotica server geen verbinding gemaakt worden met persoonlijke apparaten waar misschien een onbeveiligde share staat met leuke documenten oid.

Vastloper 27 september 2017 10:22

Ik vind dit eerlijk gezegd niet heel nieuwswaardig, sterker nog ik ga er vanuit dat elk domotica systeem momenteel zo lek als een mandje is en wacht op het moment dat er een keer ernstig misbruik word gemaakt en fabrikanten eindelijk aandacht gaan krijgen voor beveiliging in deze nieuwe markt, pas dan ga ik serieus kijken om het te gebruiken. Domotica integreert wel heel erg in je persoonlijke leefruimte dus daar ga ik geen risico's nemen. Momenteel is elk systeem gegarandeert lek en het stoort me al dat veel systemen je afhankelijk willen maken van een fabrikant en online systemen. Mocht je een keer in een conflict komen met een dienst of bedrijf of een support medewerker heb je een probleem. Naast het feit dat er 0 aandacht is voor beveiliging bij de diensten en er vooral word gekeken hoe ze de kosten zo laag mogelijk krijgen.

blorf @Vastloper • 27 september 2017 11:40

Domotica integreert wel heel erg in je persoonlijke leefruimte

Gelukkig is het alleen maar een commerciele term.

Hij onderzocht een fysiek exemplaar van het Home Center 2, waarbij bleek dat het een x86-computer is met het besturingssysteem op een usb-drive

Als je het mij vraagt hebben dit soort produkten het verzamelen van verkoopbare informatie over mensen als primaire doel en zijn het slechts samenstellingen van reeds lang bestaande technieken met een gesloten software-schilletje er omheen.
Beter doe je dit zelf met een Arduino of Raspberry van een tientje. Die kunnen hetzelfde of meer, draaien gangbare veilige besturingsystemen en hangen niet aan de diensten van een specifieke fabrikant.

[Reactie gewijzigd door blorf op 22 juli 2024 15:45]

retc @blorf • 27 september 2017 14:10

"Als je het mij vraagt hebben dit soort produkten het verzamelen van verkoopbare informatie over mensen als primaire doel en zijn het slechts samenstellingen van reeds lang bestaande technieken met een gesloten software-schilletje er omheen"

bij Fibaro (en Vera en Zipato) draait alles lokaal en wordt er geen informatie naar externe servers gestuurd. Dat weet ik zeker, want ik heb dat uitgaande verkeer gemonitord.
De software is weliswaar gesloten (gewoon een linux-setup), maar de gehanteerde protocollen zijn standaarden (z-wave) en de werking dmv scripts is obv LUA. Kortom: de kernel is gesloten en de rest is niet fabrikant-specifiek.

Edwin88 @blorf • 27 september 2017 11:54

Ik denk eerder dat dit systeem bedoeld is om een plug-and-play domotica oplossing te bieden voor mensen die zelf niet de technische kennis hebben om een Pi op te hangen en te voorzien van een veilig OS en controller software.

Dat ze hier dan een mooie premium op kunnen verdienen is dan natuurlijk mooi meegenomen. Je moet tenslotte ergens je programmeurs en managers van betalen.

retc @blorf • 27 september 2017 14:06

een arduino? nou vergeet die optie maar.
Dat is het vergelijken van een kruiwagen met een shovel.

Met een Raspberry/Domoticz kun je wel net zo veel, maar dat is vele malen meer knutselwerk dan bijvoorbeeld een Vera of een Fibaro.

HeroS

Basisstations

@Vastloper • 27 september 2017 10:45

Jij bekijkt het allemaal erg negatief he.

Ik ken behoorlijk wat domotica bedrijven en de situatie die jij schets is echt niet zo. Er wordt wel degelijk naar beveiliging gekeken.

Dat er ergens een lek zit kan in elke systeem gebeuren. Dat neemt niet weg dat dit wel erg slordig is.

Vastloper @HeroS • 28 september 2017 10:19

Ik noem het meer realistisch, beveiliging is een bijgedachte in dit segment. Goede beveiliging krijg je alleen als je het bij de architectuur/ontwerp erin verwerkt en niet eerst de fucntionaliteit bouwen en dan denken oh ja we moeten ook nog iets met beveiliging doen. Je zag het met Windows XP of adobe flash of java, je blijft eindeloos doorpatchen zonder dat de hoeveelheid nieuwe vondsten afneemt. voor veel producten maakt het me weinig uit, maar als iemand mijn apparatuur in mijn huis kan bedienen ervaar ik dat als zeer bedreigend, gelijkwaardig als dat er iemand fysiek in breekt.

Van onze huissleutel verlangen we als consument ook vooral veiligheid en nee perfecte veiligheid bestaat niet, maar voor domotica zie ik van alle producten die ik heb gezien bij vluchtige inspectie al tientallen hiaten en fundamentele fouten. Ik geloof best dat bedrijven er wel over nadenken maar als eerste op de markt willen zijn heeft nu nog een te hoge prioriteit bij alle fabrikanten, op dit moment zijn fabrikanten vooral bang de boot te missen dat zie je in de producten en het gedrag heel duidelijk. Als jij me een product kan aanwijzen waar er echt serieus naar is gekeken dan hoor ik het graag! Ik ben absoluut positief over de potentie, maar ik heb nog geen degelijk product gevonden en ben er van overtuigd dat ze wel komen uiteindlijk hoor, maar ik heb de keuze om te wachten en heb niet de behoefte om als eerste bij een wereldwijk hack schandaal betrokken te zijn waarbij er serieus schade en of gevaar in je huis kan ontstaan.

Om maar even een concreet voorbeeld te noemen ken ik nog geen systeem waarbij de sensoren,schakelaars of lichten of wat dan ook uberhaupt software updates kunenn ontvangen bij het verschijnen van lekken en zelfs als ze het kunnen word er vaak nog zeer weinig mee gedaan.

WillySis @Vastloper • 27 september 2017 10:51

Dit is een gezonde veronderstelling!
De veiligheid in het algemeen heeft wel enige aandacht, maar beslist niet genoeg. Dat men nauwelijks reageert op gevonden lekken is meer standaard dan uitzondering. Pas als men het in de openbaarheid brengt wordt dat anders. Dan heeft het ook nog eens reclamewaarde als het lek gepatched is.

Dat domotica via internet beschikbaar moet zijn vind ik eigenlijk onzin. Alleen voor de beveiligingscamera's heeft dat nut. In de winter kan het handig zijn om de kachel alvast aan te zetten, maar in de praktijk zullen er weinig mensen zijn die dat doen. Meestal staat dat op een timer geschakeld en anders is het tien minuten later alsnog warm genoeg. Lichten aan/uit of van kleur veranderen als je niet thuis bent is toch nonsens, of je moet je huisgenoten die wel thuis zijn een beetje willen pesten.

Domotica alleen binnenshuis laten bedienen lijkt mij voldoende.

AJediIAm @Vastloper • 27 september 2017 14:12

Ik heb een boel fibaro, dus zeker nieuwswaardig. Gelukkig heb ik geen home center, maar een Homey om de boel aan te sturen.

Chuk 27 september 2017 10:19

Neelen meldde de kwetsbaarheden eind februari aan de fabrikant. Vervolgens gebeurde er niets totdat hij in juni iemand van het management sprak via LinkedIn. Aan het eind van die maand was de patch uiteindelijk klaar, waarna Neelen in juli kon verifiëren dat de lekken inderdaad waren gedicht

Toch weer ongelooflijk typisch dat de eerste melding straal genegeerd werd... Bedrijven zouden extra receptief moeten zijn voor dit soort informatie. Een link op de website 'report a bug/issue' waar daadwerkelijk naar gekeken wordt lijkt toch echt niet teveel gevraagt?

Anoniem: 388974 @Chuk • 27 september 2017 10:30

Nee hoor, heel normaal: Ik liet een keer bij een vorige werkgever zien dat gebruikers zelf gevaarlijke websites bij "trusted" konden toevoegen met een truukje ... met als gevolg dat mijn internet toegang geblokkeerd werd ...

ATS @Anoniem: 388974 • 27 september 2017 14:54

En dat was het moment dat je afscheid nam en naar een andere werkgever ging?

Anoniem: 388974 @ATS • 27 september 2017 15:09

yep!

retc @Chuk • 27 september 2017 13:58

waar lees je dat het straal genegeerd wordt? Er staat in het artikel alleen dat het nog niet opgelost was. Er bestaat dus ook nog de mogelijkheid dat ze er wel mee bezig waren, maar niet snel genoeg

kipppertje 27 september 2017 10:19

Found a critical vulnerability in their systems, all they did was sending a lousy t-shirt

Maar mooi verhaal

Quilt 27 september 2017 10:24

"Vervolgens gebeurde er niets totdat hij in juni iemand van het management sprak via LinkedIn."

Nadat de manager kwestie om 4AM gewekt werd door zijn mediaspeler met de boodschap "U heeft 1 nieuw bericht via LinkedIn."

mc_alistair 27 september 2017 14:17

De enige juiste stap is sowieso alles achter een VPN te hangen.
Nix geen ge-port-forward anders dan de de VPN Service.

Nokian95dude 27 september 2017 21:01

Denk het niet want dan zullen ze toch eerst langs mijn router moeten.... Maargoed goed dat het gepatched is even though....

Op dit item kan niet meer gereageerd worden.

Nederlandse onderzoeker vindt kritiek lek in Fibaro-domoticasysteem

Lees meer

Reacties (36)

Sorteer op:

Weergave: