Голландская ИБ-компания EYE сообщает, что тысячи «умных» сигнализаций ABUS Secvest содержат неисправленные уязвимости, которые позволяют злоумышленникам удаленно отключать охранную систему перед совершением кражи и взлома с проникновением.
Проблему эксперты EYE обнаружили еще прошлой осенью. Тогда, по их подсчетам, в сети можно было обнаружить примерно 11 000 уязвимых сигнализаций. И хотя разработчики ABUS исправил эту проблему еще в январе 2021, спустя почти четыре месяца более 90% (около 10 000) клиентов по-прежнему не установили патчи.
По словам исследователей, большинство уязвимых систем находится в Германии, а еще несколько сотен распространены в других странах, включая Австрию и Швейцарию, а прочие страны Бенилюкса.
| Страна | Количество систем |
| Германия | 10,184 |
| Швейцария | 445 |
| Австрия | 426 |
| Нидерланды | 376 |
| Люксембург | 89 |
| Франция | 37 |
| Бельгия | 35 |
| Другая | 87 |
| Итого | 11 679 |
Баг был выявлен в панели веб-администрирования ABUS Secvest которую клиенты могут использовать через браузер или мобильное приложение для управления охранной системой. Дело в том, что HTTPS-запрос на деактивацию системы требует аутентификации, однако многие другие запросы не требуют.
К примеру, злоумышленники может отправить сигнализации веб-запрос и приказать ей включить сирену, которая будет издавать громкий звук в домах или на рабочих местах. В теории этот процесс можно автоматизировать, и спровоцировать срабатывание множества систем безопасности по всей Германии и Западной Европе.
Также атакующий может использовать баг для загрузки файла конфигурации ABUS Secvest, а это может вызвать уже совсем другие проблемы. Поскольку файл содержит имена и пароли всех пользователей, зарегистрированных в системе, у злоумышленника появятся необходимые учетные данные для подключения к сигнализации, после чего ее можно будет попросту деактивировать.
Кроме того, исследователи пишут, что информация из файла конфигурации (имя системы охранной сигнализации, IP-адрес, доступ к каналам камер и многое другое) может использоваться для определения физического местоположения системы. Таким образом, преступники могут заранее подготовиться и выбрать более «ценный» объект для атаки. Также они могут отключить или подменить трансляцию с камер наблюдения, и в итоге даже не попадут на видео во время проникновения в здание.
К сожалению, для установки обновленной прошивки, где эти проблемы исправлены, требуются специальные права, которыми многие владельцы сигнализаций просто не обладают (например, если сигнализация была установлена сторонней компанией). Исследователи считают, что именно в этом кроется возможная причина крайне медленной установки патчей.
