Alarmanlagen-Forum - Alarmforum - Fachforum für Sicherheitstechnik

Normale Version: Sicherheitslücke bei ABUS Secvest
Sie sehen gerade eine vereinfachte Darstellung unserer Inhalte. Normale Ansicht mit richtiger Formatierung.
Hallo liebe Community,

Wie ich gelesen habe, ist bei der ABUS Secvest eine riesige Sicherheitslücke aufgetaucht.

Diese wurde durch ABUS mit dem Update im Januar geschlossen. Auf Grund der Schwere sollte dieses Update unbedingt gemacht werden.

Ich weiß nicht, ob Links hier erlaubt sind, soll ja keine Werbung sein. Zur Not bitte ich einen Moderator, den Link zu entfernen und jeder muss eine Suchmaschine der eigenen Wahl selbst bemühen Smile

https://www.heise.de/news/c-t-deckt-auf-...ag.beitrag


Also alle fleißig updaten Smile

Gruß,
BH-KW!
oder noch besser die Appsteuerung über VPN direkt auf die Secvest umstellen und dann Tschüß, Servus oder Adieu zum ABUS Server.

LG megagramm
Big Grin Die größte Sicherheitslücke bei Abus Secvest ist Abus Secvest Big GrinTongue
Ja Peter,

so ist es und mit Umstellung auf VPN ist die Lücke dann sicher geschlossen.
Keine Portöffnung beim Router usw.

LG megagramm
(30-04-2021 20:28)peteralarm schrieb: [ -> ]Big Grin Die größte Sicherheitslücke bei Abus Secvest ist Abus Secvest Big GrinTongue

Lieber Peteralarm, ...................... (wo ist denn hier der ich lach mich weg Smiley)
Den vermisse ich auch manchmalCool
Hallo Community,

Abus Security muss sich nicht wundern:

- Errichter wurden viel zu spät informiert...

Laut Timeline hatte Abus schon im November Kenntnis über die Sicherheitslücke. Alle Errichter hätten informiert werden müssen,
dass wenigstens der Webserver des Kunden bis zum nächsten Firmwareupdate ausgeschaltet werden sollte.

Es gibt nun mal leider auch Errichter die solche tollen Anlagen im Gewerbe verbauen. Wenn im Ereignisspeicher nachzulesen ist, dass der Errichtercode benutzt wurde, und sich ein Errichter übers WEB an der Anlage angemeldet hat, haben auch diese erstmal ein Rechtfertigungsproblem.

Desweiteren gibt es immer mehr Sicherheitslücken, die die Inkompetenz des Herstellers wiederspiegeln:

https://www.youtube.com/watch?v=F38Ts3dOqR8

Zu finden unter Youtube:
There is Always One More Bug - or More: Revisiting a Wireless Alarm System (Hacktivity 2020)

Ebenfalls zu sehen ist, dass Abus von allen CVEs nur eine gefixt hat, nämlich das Drama mit dem Rollingcode ( Chip für 10Cent zu teuer Smile )

Im großen und ganzen, bitte liebe Leute , kauft ein anständiges
Einbruchmeldesystem. Bitte kauft z.B. Telenot oder vergleichbar...

Auszug Timeline:

Disclosure timeline:

2020-10-30: Contacted ABUS via web form, requesting a security contact.

2020-11-04: Received support email address for ABUS Security Center. Sent email requesting security contact.

2020-11-06: Received contact details of Technical Director and sent advisory via email.

2020-11-08: ABUS confirms receipt of advisory.

2020-11-20: EYE asked via email if ABUS was able to reproduce the findings.

2020-11-20: ABUS confirms they were able to reproduce the findings and that the next release will include a fix.

2020-11-23: EYE requested CVE and sent the obtained CVE-number to ABUS.

2020-11-24: ABUS acknowledges receipt of CVE.
Wie stellt man die Appsteuerung über VPN direkt auf die Secvest um - mich nervt der Server jetzt schon, da ich nicht mal drauf komme ....
Hallo Ainzelwerk, schau mal hier nach:

https://www.alarmforum.de//showthread.ph...#pid112746


Update vom 07.06.21:
Fritz hat leider beim neuesten Update der App die VPN-Verbindung rausgenommen, was ich absolut nicht nachvollziehen kann. Die App ist somit so gut wie nutzlos. Angry

Man muss also jetzt händig eine VPN einrichten. Warum einfach, wenn es auch kompliziert geht. Huh
Referenz-URLs