Aufgrund einer gefährlichen Sicherheitslücke wurden tausende Abus-Alarmanlagen Hackern schutzlos ausgeliefert. Hierbei handelt es sich um die vernetzte Alarmanlage „Secvest FUAA50000“. Ohne Authentifizierung liefert die Alarmzentrale über eine bestimmte URL ihre Gerätekonfiguration einschließlich der zur Konfiguration notwendigen Admin-PIN aus. Sogar hinterlegte Telefonnummern, Nutzernamen, Ereignisse und Informationen über die eingesetzten Komponenten zählen zum Inhalt der ausgelieferten Datei. Somit kann jeder, der im Besitz dieser Informationen ist, das System deaktivieren, umkonfigurieren oder einen Alarm auslösen. Im Januar dieses Jahres erschien ein Abus-Firmware-Update, das die Sicherheitslücke abdichten sollte. Dennoch sind derzeit mutmaßlich noch tausende Alarmsysteme kinderleicht über das Internet kompromittierbar, da die abgesicherte Firmware bislang nur auf etwa 10 Prozent der rund 10.000 Secvest-Alarmanlagen in Deutschland angekommen ist. Das BSI hat inzwischen die Provider der Abus-Kunden informiert, um für ein sofortiges Update zu sorgen.
Den vollständigen Artikel finden Sie hier hier.