Sicherheitslücke bei ABUS Secvest

[jonny74]

Hallo Community,

Abus Security muss sich nicht wundern:

- Errichter wurden viel zu spät informiert...

Laut Timeline hatte Abus schon im November Kenntnis über die Sicherheitslücke. Alle Errichter hätten informiert werden müssen,
dass wenigstens der Webserver des Kunden bis zum nächsten Firmwareupdate ausgeschaltet werden sollte.

Es gibt nun mal leider auch Errichter die solche tollen Anlagen im Gewerbe verbauen. Wenn im Ereignisspeicher nachzulesen ist, dass der Errichtercode benutzt wurde, und sich ein Errichter übers WEB an der Anlage angemeldet hat, haben auch diese erstmal ein Rechtfertigungsproblem.

Desweiteren gibt es immer mehr Sicherheitslücken, die die Inkompetenz des Herstellers wiederspiegeln:

https://www.youtube.com/watch?v=F38Ts3dOqR8

Zu finden unter Youtube:
There is Always One More Bug - or More: Revisiting a Wireless Alarm System (Hacktivity 2020)

Ebenfalls zu sehen ist, dass Abus von allen CVEs nur eine gefixt hat, nämlich das Drama mit dem Rollingcode ( Chip für 10Cent zu teuer )

Im großen und ganzen, bitte liebe Leute , kauft ein anständiges
Einbruchmeldesystem. Bitte kauft z.B. Telenot oder vergleichbar...

Auszug Timeline:

Disclosure timeline:

2020-10-30: Contacted ABUS via web form, requesting a security contact.

2020-11-04: Received support email address for ABUS Security Center. Sent email requesting security contact.

2020-11-06: Received contact details of Technical Director and sent advisory via email.

2020-11-08: ABUS confirms receipt of advisory.

2020-11-20: EYE asked via email if ABUS was able to reproduce the findings.

2020-11-20: ABUS confirms they were able to reproduce the findings and that the next release will include a fix.

2020-11-23: EYE requested CVE and sent the obtained CVE-number to ABUS.

2020-11-24: ABUS acknowledges receipt of CVE.