10,000 个未修补的 Abus Secvest 可远程停用,使客户容易受到入侵盗窃

Andrew 2021-04-26
专栏 - 资讯 发布于 2021-04-26 09:57:08 阅读 119 评论 0

Eye Security的研究人员发现,尽管供应商已在1月解决了一个严重漏洞(CVE-2020-28973),但数千个未打补丁的 ABUS Secvest家庭报警系统已在线暴露。远程攻击者可以利用此漏洞禁用警报系统,并使房屋和公司建筑物受到入侵。

“ABUS Secvest无线警报系统FUAA50000(v3.01.17)无法正确验证对其内置HTTPS接口的某些请求。有人可以利用此漏洞从系统获取敏感信息,例如用户名和密码。然后,该信息可用于重新配置或禁用警报系统。” 读取漏洞的说明。

Secvest FUAA50000控制器的价格约为400欧元,用于控制运动传感器,警报器,门/窗传感器。

不幸的是,专家注意到90%以上的安装仍在使用有缺陷的固件版本,并且尚未安装供应商提供的安全更新(V3.01.21)。供应商还建议将临时转发到客户路由器中的端口4433的端口作为临时修复措施,以防止对设备进行远程控制。

在10月的发现之时,Rapid7研究人员发现了大约11,000个在线报警系统,并且根据EYE安全性,其中只有1,000个正在运行最新的固件版本。

“警报系统可以通过警报面板,Web界面或通过Secvest应用程序(iPhone或Android)进行控制。要通过Web界面的应用程序控制系统,需要将警报系统连接到Internet,并且需要将HTTPS端口(默认为4433)转发到系统。” 说明Eye security发布的报告。

根据这些信息,我们进行了快速调查,以了解该系统的受欢迎程度。为此,我们使用 了Rapid7的公开 HTTPS扫描:

国家 数数
德国 10.184
瑞士 445
奥地利 426
荷兰 376
卢森堡 89
法国 37
比利时 35
其他 87
全部的 11.679

大多数易受攻击的安装都在德国,瑞士和奥地利使用。

该漏洞影响了为控制Secvest系统而实施的Web管理面板,专家注意到,设备接受的许多请求都缺乏身份验证。

专家还指出,对设备Web界面的身份验证是使用用户名和4位警报PIN(可在几分钟内轻松实施)实施的。

专家展示了对Secvest警报使用Web请求可以控制警报器:

curl -kv https://192.168.99.230:4433/<redacted> -d 'events={"panelTest_intSirensState":1}'

研究人员还发现,可以访问和下载警报系统的配置文件,其中包含执行攻击的有用信息。

该文件包含在警报系统上注册的用户的用户名和密码。

通过提取配置文件,我们可以获得所有用户名和密码并登录到系统。现在,我们具有与警报系统的所有者(或安装者)相同的特权。攻击者现在可以重新配置或停用系统,查看日志以建立生活模式,或者寻找线索来查找系统的物理位置(例如所有者名称,安装程序通常将其输入为系统名称)。 ” 继续报告。“配置文件中还包括用于已连接系统的纯文本密码。如果用户已将摄像机连接到系统,我们将能够使用配置文件中的密码来访问视频源。”

该配置文件还以纯文本格式包含所连接系统的密码,攻击者可能会使用它们来访问所连接的摄像机和其他设备。

不幸的是,更新过程并不简单,专家们强调只有具有特殊“安装程序”权限的用户才能安装固件更新,但是在许多情况下,智能警报的所有者没有这些更新,因为系统是由安装和管理的。服务提供商。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!