Super Gau bei Abus-Alarmanlagen

Tausende Abus Alarmanlagen sind Hackern und Einbrechern schutzlos ausgeliefert.
Leider nicht zum ersten mal machen Abus Alarm und Kamerasysteme Schlagzeilen. C´t hat bei der vernetzten Secvest FUAA50000 eine gefährliche Sicherheitslücke entdeckt.
Über eine bestimmte URL liefert die Alarmzentrale ohne Authentifizierung ihre Gerätekonfiguration aus – einschließlich der zur Konfiguration nötigen Admin-PIN. Auch hinterlegte Telefonnummern, Nutzernamen, Ereignisse und Informationen über die eingesetzten Komponenten sind Teil der ausgelieferten Datei. Wer will, kann damit das System deaktivieren, umkonfigurieren oder einen Alarm auslösen.
Entdeckt hat die Lücke der Sicherheitsexperte Niels Teusink von Eye Security. Er kontaktierte Abus nach eigenen Angaben bereits im Oktober vergangenen Jahres, um auf die gefährliche Schwachstelle aufmerksam zu machen. Im November gelang es Abus laut Teusink, das Problem nachzuvollziehen und im Januar des laufenden Jahres erschien schließlich ein Firmware-Update, das die Lücke abdichten soll. Um niemanden unnötig in Gefahr zu bringen, wartete Teusink noch bis vor wenigen Tagen, ehe er sich mit seinem Fund an die Öffentlichkeit wandte.

Leider hat das neue Firmware Update aber nicht ausgereicht. Anscheinend wurde die Software bis dato nur auf 10% aller Secvest Alarmanlagen eingespielt worden. Anscheinend wurde bis dato über 10.000 Alarmanlagen dieser Modellreihe verkauft. Es ist daher davon auszugehen das tausende Abus Anlagen dieser Baureihe immer noch angreifbar sind. Überlegt man das nach 8 Monate immer noch ein Großteil angreifbar ist so gibt das zu denken. Auch die lange Reaktionszeit spricht nicht wirklich für eine der größten Firmen im Bereich Sicherheitstechnik.

Wir können nur jedem Abus Kunden nur empfehlen schnellstens das Sicherheitsupdate einzuspielen. Das es jetzt schon die zweite massive Sicherheitslücke innerhalb kurzer Zeit ist, können wir nur jedem raten die Anlage vom Internet zu trennen. Wenn das Internet jedoch nötig sein sollte dann nur über eine VPN Tunnel.

Abus hat bei der Sicherheitssparte auch eine regelrechte Pechserie.


04.08.2020 Abus Funkalarmanlage über Erweiterungsmodul abschaltbar

10.05.2019 Sicherheitslücken in IP Kameras von Abus

03.05.2019 Abus Funkalarmanlage Sicherheitslücke erlaubt das Klonen von RFID Schlüssel

26.03.2019 Einbrecher könnten Funkalarmanlagen von Abus ausknipsen

24.06.2016 Sicherheitslücke in Alarmanlage von Abus und Climax