+- Alarmanlagen-Forum - Alarmforum - Fachforum für Sicherheitstechnik (https://www.alarmforum.de)
+-- Forum: Einbruchmeldesysteme nach Hersteller (/forumdisplay.php?fid=97)
+--- Forum: ABUS (/forumdisplay.php?fid=167)
+---- Forum: Secvest (neue Version ab 2015) (/forumdisplay.php?fid=173)
+---- Thema: Sicherheitslücke bei ABUS Secvest (/showthread.php?tid=18136)
Sicherheitslücke bei ABUS Secvest - BH-KW! - 30-04-2021 19:21
Hallo liebe Community,
Wie ich gelesen habe, ist bei der ABUS Secvest eine riesige Sicherheitslücke aufgetaucht.
Diese wurde durch ABUS mit dem Update im Januar geschlossen. Auf Grund der Schwere sollte dieses Update unbedingt gemacht werden.
Ich weiß nicht, ob Links hier erlaubt sind, soll ja keine Werbung sein. Zur Not bitte ich einen Moderator, den Link zu entfernen und jeder muss eine Suchmaschine der eigenen Wahl selbst bemühen
https://www.heise.de/news/c-t-deckt-auf-Security-GAU-bei-Abus-Alarmanlagen-6032094.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag
Also alle fleißig updaten
Gruß,
BH-KW!
RE: Sicherheitslücke bei ABUS Secvest - megagramm - 30-04-2021 19:43
oder noch besser die Appsteuerung über VPN direkt auf die Secvest umstellen und dann Tschüß, Servus oder Adieu zum ABUS Server.
LG megagramm
RE: Sicherheitslücke bei ABUS Secvest - peteralarm - 30-04-2021 20:28
Die größte Sicherheitslücke bei Abus Secvest ist Abus Secvest 
RE: Sicherheitslücke bei ABUS Secvest - megagramm - 30-04-2021 20:32
Ja Peter,
so ist es und mit Umstellung auf VPN ist die Lücke dann sicher geschlossen.
Keine Portöffnung beim Router usw.
LG megagramm
RE: Sicherheitslücke bei ABUS Secvest - ssb-security - 30-04-2021 21:14
(30-04-2021 20:28)peteralarm schrieb:
Lieber Peteralarm, ...................... (wo ist denn hier der ich lach mich weg Smiley)
RE: Sicherheitslücke bei ABUS Secvest - peteralarm - 01-05-2021 00:41
Den vermisse ich auch manchmal
RE: Sicherheitslücke bei ABUS Secvest - jonny74 - 06-05-2021 16:34
Hallo Community,
Abus Security muss sich nicht wundern:
- Errichter wurden viel zu spät informiert...
Laut Timeline hatte Abus schon im November Kenntnis über die Sicherheitslücke. Alle Errichter hätten informiert werden müssen,
dass wenigstens der Webserver des Kunden bis zum nächsten Firmwareupdate ausgeschaltet werden sollte.
Es gibt nun mal leider auch Errichter die solche tollen Anlagen im Gewerbe verbauen. Wenn im Ereignisspeicher nachzulesen ist, dass der Errichtercode benutzt wurde, und sich ein Errichter übers WEB an der Anlage angemeldet hat, haben auch diese erstmal ein Rechtfertigungsproblem.
Desweiteren gibt es immer mehr Sicherheitslücken, die die Inkompetenz des Herstellers wiederspiegeln:
https://www.youtube.com/watch?v=F38Ts3dOqR8
Zu finden unter Youtube:
There is Always One More Bug - or More: Revisiting a Wireless Alarm System (Hacktivity 2020)
Ebenfalls zu sehen ist, dass Abus von allen CVEs nur eine gefixt hat, nämlich das Drama mit dem Rollingcode ( Chip für 10Cent zu teuer
) Im großen und ganzen, bitte liebe Leute , kauft ein anständiges
Einbruchmeldesystem. Bitte kauft z.B. Telenot oder vergleichbar...
Auszug Timeline:
Disclosure timeline:
2020-10-30: Contacted ABUS via web form, requesting a security contact.
2020-11-04: Received support email address for ABUS Security Center. Sent email requesting security contact.
2020-11-06: Received contact details of Technical Director and sent advisory via email.
2020-11-08: ABUS confirms receipt of advisory.
2020-11-20: EYE asked via email if ABUS was able to reproduce the findings.
2020-11-20: ABUS confirms they were able to reproduce the findings and that the next release will include a fix.
2020-11-23: EYE requested CVE and sent the obtained CVE-number to ABUS.
2020-11-24: ABUS acknowledges receipt of CVE.
RE: Sicherheitslücke bei ABUS Secvest - Ainzelwerk - 04-06-2021 09:12
Wie stellt man die Appsteuerung über VPN direkt auf die Secvest um - mich nervt der Server jetzt schon, da ich nicht mal drauf komme ....
RE: Sicherheitslücke bei ABUS Secvest - horstn - 05-06-2021 06:55
Hallo Ainzelwerk, schau mal hier nach:
https://www.alarmforum.de//showthread.php?tid=18005&pid=112746#pid112746
Update vom 07.06.21:
Fritz hat leider beim neuesten Update der App die VPN-Verbindung rausgenommen, was ich absolut nicht nachvollziehen kann. Die App ist somit so gut wie nutzlos.
Man muss also jetzt händig eine VPN einrichten. Warum einfach, wenn es auch kompliziert geht.
