ABUS stelde klanten niet op de hoogte van fix voor ernstig beveiligingslek

Het draadloze alarmsysteem Secvest van de Duitse fabrikant ABUS blijkt een gevaarlijk beveiligingslek te bevatten. Het lek werd in januari gedicht door de fabrikant, maar niet alle klanten werden hiervan op de hoogte gesteld, waardoor honderden systemen kwetsbaar zijn.

Het lek werd ontdekt door onderzoeker Niels Teusink van het beveiligingsbedrijf EYE. Hij liet aan RTL Nieuws zien hoe hij alarmsystemen kon binnendringen en overnemen. Het systeem kan via het lek worden uitgeschakeld, daarnaast kunnen beelden van beveiligingscamera's worden bekeken die op het systeem zijn aangesloten. In een blog legt Teusink uit hoe hij via het lek het systeem kan overnemen.

Teusink meldde het lek eind 2020 bij ABUS. De update om dit lek te dichten werd in januari al door ABUS uitgebracht, maar het beveiligingslek wordt verder niet vermeld. Ook niet in de patchnotes van de update. Hierdoor zijn nog altijd honderden systemen kwetsbaar, omdat gebruikers hun systeem nog niet hebben geüpdatet.

In een reactie aan RTL Nieuws laat ABUS weten dat er in januari een update voor het beveiligingslek is verschenen, maar dat het bedrijf inderdaad moet constateren dat enkele installateurs niet op de hoogte zijn gesteld van de update. ABUS verklaart dit nu alsnog te gaan doen.

Reacties (31)

Kecin

20 april 2021 20:33

Ik zag de video bij RTL en heb het idee dat het simpelweg een firmware fout is die via UPNP naar buiten toe praat. Maar dat weet ik niet zeker.
Wel knap dat het gefixt is in januari, vervolgens Teusink via RTL erop duikt en dat ze na 72 uur nog steeds niet alle subcontractor hebben geïnformeerd dat ze even handmatig firmware moeten updaten.

Zit je dan met je relatief dure alarmsysteem. Het deel waarin Teusink zei de beelden te kunnen injecteren (iets anders "live" laten zien dan het geval is) geloof ik niet en is als entertainment toegevoegd leek het.

Ook in 2016 was het wachtwoord vaak '1234' na een snelle Google search: https://www.heise.de/ct/a...234-password-3248831.html
"These alarm systems were provided with a web interface that could be opened with a standard password: Abus Secvest, Blaupunkt Q3200 und Lupus Electronics XT1."

Ook is het makkelijk mogelijk om de ABUS variant de key-clonen d.m.v. NFC. Er zit een mogelijkheid in om deze te beschermen als de hoofdkey weer word gebruikt, maar deze is niet geïmplementeerd!
https://www.youtube.com/watch?v=sPyXTQXTEcQ

Een beetje klooien op Shodan.io geeft me ookal snel een aantal systemen (vooral Duitsland). De ene een openbare camera, de andere een heel huis(!). Wat @dasiro zegt hieronder over het aanpassen van de key, blijkbaar niet bij allemaal, heb er 1 getest en daar werkte 1234/1234 prima. Meer ga ik er niet mee proberen gezien ik niet de intentie heb om computer vredebreuk te plegen, maar puur om te zien of die codes dus (nog steeds sinds het artikel van 2016) open staan.

[Reactie gewijzigd door Kecin op 26 juli 2024 05:05]

niels303 @Kecin • 20 april 2021 21:08

Hi, Niels hier

Op de site van EYE staat een techblog waar e.e.a. wat met meer technische details wordt uitgelegd.

Het is geen upnp, maar mensen zetten de poort expliciet open op hun router. Dit is nodig om het systeem via de app te kunnen bedienen.

Ik snap je scepsis wat betreft het vervangen van camerabeelden. We hebben dat wel gedemonstreerd, maar dat was lastig om op TV te laten zien en heeft het uiteindelijke item niet gehaald. Hoe het werkt is via de DDNS service van ABUS. Je kan daar het IP adres van het alarmsysteem wijzigen, waardoor je een man-in-the-middle positie krijgt tussen het alarmsysteem en de app. Vervolgens kan je de (unencrypted) camerastream aanpassen of vervangen.

Kecin

@niels303 • 20 april 2021 21:22

Ah super! Kijk, jouw blog is inderdaad een stuk uitgebreider (en leuker voor een Tweaker) om te zien. MITM middels een DNS aanpassing, zo had ik er nog niet over nagedacht. Ik kan me voorstellen dat dat moeilijk is te laten zien in een kort video item. Al met al goede vondst! Typisch dat het dan om handmatig geopende poorten gaat, ik hoop er altijd op dat mensen toch iets beter nadenken als ze zoiets doen.

Dankjewel voor je aanvulling, hoop dat Tweakers je blog ook even in het artikel copied want dat maakt veel duidelijk, @Robert Zomers, kan jij dat doen

Auteur

Robert Zomers @Kecin • 20 april 2021 21:27

Bedankt! Ik heb je blog toegevoegd @niels303

niels303 @Robert Zomers • 20 april 2021 21:39

Top, bedankt!

dasiro @Kecin • 20 april 2021 20:45

standaard-wachtwoorden moet je bij het in dienst stellen veranderen

Groningerkoek @dasiro • 20 april 2021 21:22

Klopt, maar we weten allemaal dat de ene monteur meer kennis en/of meer liefde voor het vak heeft dan de andere.

dasiro @Groningerkoek • 20 april 2021 21:44

"hate the player, not the game", in dit geval zal abus blijkbaar door de commotie een beter zicht hebben gekregen op welke installateurs niet zo plichtsgetrouw zijn en hen dan ook (nogmaals ?) wijzen op de noodzaak om klantensystemen up-to-date te houden of hen tenminste in te lichten.

Groningerkoek @dasiro • 20 april 2021 22:16

Beter levert men die systemen met of unieke wachtwoorden of met het verplicht aanmaken van een nieuw wachtwoord bij ingebruikname. Elke luiheid die je toelaat zal door in elk geval een aantal mensen misbruikt worden, als leverancier van veiligheidssystemen hoor je daar in mijn beleving rekening mee te houden en op in te spelen.

Raymond Deen @Groningerkoek • 20 april 2021 22:43

Ik denk dan meteen aan die unieke wifi wachtwoorden die door een tooltje af te leiden waren van de ssid.
Verplicht een nieuw wachtwoord aan laten maken dat aan bepaalde regels voldoet bij eerste keer in bedrijf stellen, lijkt me een goede oplossing.

bwerg @dasiro • 21 april 2021 09:03

"hate the player, not the game"

Mooie quote, maar het zegt weinig. Aangezien een fabrikant hierdoor wel grote aantallen gebruikers heeft die kwetsbaar zijn is dat niet goed voor hun klanten, en ook niet goed voor hun eigen imago.

"Niet ons probleem" is als bedrijf een leuke instelling als je aansprakelijkheid af wil schuiven, niet als je de klant tevreden wil maken met je product. Standaardwachtwoorden zijn gewoon een garantie op problemen, en dus ontevreden klanten (of klanten die wel tevreden zijn, niet omdat het beveiligingssysteem werkt maar enkel omdat ze niet doorhebben dat het niet werkt).

[Reactie gewijzigd door bwerg op 26 juli 2024 05:05]

uiltje @dasiro • 21 april 2021 09:47

Nooit op je gebruikers (in dit geval ook de installateurs!) vertrouwen als dat niet nodig is. Een apparaat-specifiek wachtwoord is een stuk veiliger. Een willekeurig wachtwoord op de apparaten printen is ook weer niet zo lastig. Ja het kost een centje meer, maar voor dit soort systemen...

Olaf van der Spek @Kecin • 20 april 2021 20:45

De deel waarin Teusink zei de beelden te kunnen injecteren (iets anders "live" laten zien dan het geval is) geloof ik niet

Want?

Kecin

@Olaf van der Spek • 20 april 2021 20:48

Ik zou die functie niet snappen in een alarmsysteem. Waarom zou je beeld kunnen verwijderen en eigen beelden uploaden? Het stoppen van een cam lijkt me dan wel mogelijk. Maar vanuit de webinterface beeld streamen lijkt me vreemd. In het filmpje legt die VLC over de webpage heen (waarschijnlijk om te laten zien wat het zou doen), maar ik krijg nu niet echt het idee dat dat een exploit is maar meer sensatie. Maar ik zou graag het tegenovergestelde bewezen zien. Ben zeer benieuwd hoe die beeld zou injecteren.

Olaf van der Spek @Kecin • 20 april 2021 20:51

Ik zou die functie niet snappen in een alarmsysteem.

Je kijkt geen films?

Kecin

@Olaf van der Spek • 20 april 2021 20:51

Nou, exact om die reden verwacht ik het dus niet in een alarm-systeem

haha.

BernardV @Kecin • 20 april 2021 22:03

Zoals ik het begrijp is het ook niet injecteren in het alarmsysteem, maar door de MITM een andere stream tonen in de app dan de daadwerkelijke stream.

HakanX @Kecin • 21 april 2021 06:23

Uiteindelijk welke systeem het ook is, de beelden zijn in 99% van de gevallen een RTSP stream. Wijzig op welke manier dan ook de link naar de stream of de stream achter de link door een dns aanpassing en draai de beelden van de vorige dag via die stream.

[Reactie gewijzigd door HakanX op 26 juli 2024 05:05]

kikkervis

20 april 2021 20:33

Blijkt maar weer dat er zonder druk, in dit geval via RTL, een fabrikant niet zijn verantwoordelijkheid neemt die past bij een software fout zoals deze.

Ze wisten dat er een fout in zat, ze hadden een oplossing, dan kan je op z'n minst de verschillende eindgebruikers op de hoogte stellen.

Eigenlijk ben ik er zelfs verbaasd over, want als je het lek al gedicht hebt, waarom niet mensen actief benaderen. Lees een beetje alsof deze slotenmaker nog niet helemaal door heeft hoe de digitale/ on-line wereld werkt.

dasiro @kikkervis • 20 april 2021 20:42

abus verkoopt deze systemen blijkbaar niet rechtstreeks aan eindgebruikers, maar via installateurs, dan is het logisch dat zij hun klanten op de hoogte brengen, want abus kent ze dan ook niet. eind 2020 gemeld en een maand later al gepatcht lijkt me nog redelijk snel.

dennisvrees 20 april 2021 23:37

Wij als installateur van abus Secvest zijn nooit op de hoogte gesteld. Tot mijn verbazing gister de volgende mail ontvangen.

ABUS SECVEST
HET ALARMSYSTEEM
Beste ABUS Partner,

Ondanks de uitdagingen van de huidige tijd is het geweldig om te zien hoeveel vraag er is naar de ABUS Secvest! De bestellingen zijn zodanig toegenomen dat wij voor bepaalde onderdelen zelfs met kleine leveringsproblemen te kampen hebben. Wij werken in volle vaart aan de achterstand - en vragen om uw begrip!

Let op het laatste tech nieuws - voor de beste functionaliteit en bediening:
Update Secvest Firmware naar V3.01.21
Update Secvest App (Android & Apple) naar V2.3.3

Bij technische uitdagingen, bijvoorbeeld in nieuwe gebouwen, komt de Secvest Hybrid Module goed van pas. Veel top installateurs gebruiken het al in hun projecten - u ook?

Als u vragen heeft, aarzel dan niet om contact met ons op te nemen.

Met vriendelijke groeten,

ABUS Nederland BV

cracking cloud @dennisvrees • 21 april 2021 07:35

Daar klinkt nou niet echt urgentie uit om de update door te voeren

Heidistein @dennisvrees • 21 april 2021 00:19

"Veel top installateurs"....
Dat zijn dan installateurs die alleen slechts de bovenkant van gebouwen doen?...

Arfman 21 april 2021 09:06

Hoeveel redenen willen mensen nog horen voordat ze van dit soort systemen (die contact hebben met internet) afstappen?

Sharky @Arfman • 21 april 2021 09:48

Ik denk dat als je een uitgebreid alarmsysteem wilt inclusief camerabeelden, dat je dan niet ontkomt aan internettoegang. De implementatie is in dit geval niet al te best geweest en beveiliging is natuurlijk ook lastig.

Arfman @Sharky • 21 april 2021 10:06

Als het dan toch moet, dan met fatsoenlijke MFA implementatie (dus geen SMS).

sprankel @Arfman • 22 april 2021 00:40

lol, MFA gaat niet helpen, dumpen op een aparte Vlan en zorgen dat deze rommel niet aan de rest van je netwerk kan. Wachtwoorden zijn 4 of 6 cijfers, dat alleen al laat bij mij een alarm afgaan. Er zijn echter config files, commands & statusen op te vragen zonder enige authentificatie.

Zie de post verder boven van diegene die dit issue aan de kaak heeft gesteld.

Dan moet je concluderen dat dit beveiligingsysteem niets kent van beveiliging, tjah, dan moet je niet verwonderd zijn dat de fabrikant het onder de mat schuift, als ze dat vlakaf toegeven kunnen ze meteen de boeken neerleggen.

Maar dit is idd zeker geen alleenstaand geval waarbij dit soort systemen meer en meer valide redenen hebben om aan het internet te hangen alleen al om bijvoorbeeld beelden door te sturen naar de hulpdiensten maar ook zodat een bewaker die zijn ronde doet meteen gewaarschuwd word dat het hek plots open staat en meteen de camerabeelden kan opvragen.

De oplossing is dus eerder dat het goed fout gaat, een keer of 100, tot dit soort grapjes meteen resulteert in juridische problemen en alle klanten het meteen aftrappen.

mutley69 20 april 2021 21:18

Onnodig te vermelden dat Abus hiervoor op de zwarte lijst bij mij komt. Of dat nu onder OEM is of niet - je moet support leveren!

dezejongeman 20 april 2021 23:05

ach ja, ik heb het ook meegemaakt. een monteur van een grote nederlandse partij welke weigerde om het admin account aan te passen van het nieuwe high-end cam systeem. vervolgens wel wou dat de hele webserver rechtstreeks aan het internet kwam zodat het met een app rechtstreeks te benaderen is.

na informeren van de gezamelijke klant is het wachtwoord alsnog gewijzigd en is het camera systeem achter een VPN gekomen. probleem is vaak ook dat firmware van camera's lang niet altijd wordt bijgewerkt door de fabrikanten, en laat staan worden bijgewerkt in door de installateurs. ze zitten eigenlijk te veel op het IT vlak waar hun goed zijn in de fysieke techniek.

PanaLover 20 april 2021 23:47

Jaren terug van ABUS camera systemen, deur video's e.d. verkocht. De techniek was bij introductie al achterhaald en bij een beetje technische vraag, hadden ze geen antwoord. Dan stop je als dealer zijnde heel snel met dat producten kies je voor een andere. Schijnbaar snappen ze het nog steeds niet.

Gelukkig is hier het oldschool bedraad alarmsysteem niet te kraken met app's of via internet.

Groningerkoek 20 april 2021 21:22

De zoveelste die hoopte dat zwijgen de oplossing zou zijn...

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (31)

Sorteer op:

Weergave: