Home » News » Intelligente Gegensprechanlage entpuppt sich als gravierendes Sicherheitsrisiko

Intelligente Gegensprechanlage entpuppt sich als gravierendes Sicherheitsrisiko

Sicherheitsforscher haben besorgniserregende Erkenntnisse zutage gefördert: Bei der intelligenten Gegensprechanlage Akuvox E11 wurden mehrere Zero-Day-Schwachstellen aufgedeckt, die ein erhebliches Risiko für die Privatsphäre und die Sicherheit der Verbraucher darstellen. Trotzdem scheint der renommierte chinesische Hersteller keine Anstalten zu machen, auf die bedenkliche Situation zu reagieren. Alle Nachfragen und Kontaktversuche seitens der Forscher stoßen auf taube Ohren. Eine äußerst bedenkliche Entwicklung, die besondere Aufmerksamkeit erfordert.

3 Min. Lesezeit
Gegensprechanlage
Foto: ©AdobeStock/polkadot

Experten haben herausgefunden, dass die entdeckten Schwachstellen es Angreifern ermöglichen, die Kamera und das Mikrofon aus der Ferne zu aktivieren und Türschlösser zu deaktivieren – und das überall, wo die betroffene Gegensprechanlage Akuvox E11 im Einsatz ist, sei es in Wohnhäusern, Bürogebäuden oder medizinischen Einrichtungen. Trotz der schwerwiegenden Risiken sind die Schwachstellen bislang nicht behoben worden, da der Hersteller seit Januar 2022 auf mehrere Kontaktversuche von Team82 der Forschungsabteilung von Claroty sowie weiteren CERT-Organisationen nicht reagiert hat. Die Schwachstellen können über zwei Hauptangriffsvektoren ausgenutzt werden:

  • Remote-Code-Ausführung:
    Zwei der von Team82 gefundenen Schwachstellen (fehlende Authentifizierung für eine kritische Funktion/CVE-2023-0354 und eine Befehlsinjektionsschwachstelle/CVE-2023-0351) können verknüpft werden, um Code aus der Ferne im lokalen Netzwerk auszuführen. Wenn ein anfälliges Gerät mit dem Internet verbunden ist, kann ein Angreifer diese Schwachstellen nutzen, um die Kontrolle über das Gerät zu übernehmen, beliebigen Code auszuführen und sich lateral im Netzwerk zu bewegen. Laut der Akuvox-Website sind diese Geräte die „erste Verteidigungslinie“ in Altersheimen, Lagerhallen, Wohngebäuden, Parkgaragen, medizinischen Einrichtungen und Einfamilienhäusern.
  • Steuerung der Kamera aus der Ferne:
    Eine weitere Schwachstelle (CVE-2023-0348) kann ausgenutzt werden, um die Kamera und das Mikrofon aus der Ferne ohne Authentifizierung zu aktivieren und die Daten an die Angreifer zu übertragen. In datenschutzsensiblen Organisationen, wie zum Beispiel Gesundheitszentren, kann dies zu einem Verstoß gegen zahlreiche Vorschriften führen, welche die Privatsphäre der Patienten schützen sollen.

Keine Reaktion des Herstellers

Akuvox E11 ist nach vielen erfolglosen Versuchen seitens Team82, den Hersteller zu kontaktieren und die Offenlegung zu koordinieren, immer noch nicht gepatcht. Akuvox gilt als ein weltweit führender Anbieter von SIP-basierten intelligenten Gegensprechanlagen. Die Bemühungen, das chinesische Unternehmen zu erreichen, begannen im Januar 2022. Im Laufe der Zeit wurden mehrere Support-Tickets von Team82 eröffnet und vom Hersteller sofort geschlossen, bevor das Konto schließlich am 27. Januar 2022 gesperrt wurde. Daraufhin schalteten die Sicherheitsforscher das CERT Coordination Center (CERT/CC) ein, das ebenfalls mehrfach vergeblich versuchte, den Anbieter zu kontaktieren. Nach monatelangen erfolglosen Versuchen teilte Team82 seine Erkenntnisse im Dezember dem ICS-CERT mit. Das ICS-CERT hatte ebenfalls keinen Erfolg bei der Zusammenarbeit mit Akuvox und veröffentlichte nun einen Bericht, in dem 13 von Team82 gefundene Schwachstellen beschrieben werden. Die Auswirkungen dieser Schwachstellen reichen von fehlender Authentifizierung, hartkodierten Verschlüsselungsschlüsseln, fehlender oder unsachgemäßer Autorisierung bis hin zur Preisgabe sensibler Informationen an unbefugte Benutzer. „Wir glauben, dass es im besten Interesse der Anwender ist, diese Informationen weiterzugeben, in der Hoffnung, dass sie proaktive Schutz-Maßnahmen ergreifen können. Sie sollten die Abhilfemaßnahmen ergreifen, die wir empfohlen haben, den Hersteller unter Druck setzen, diese Schwachstellen tatsächlich zu beheben, oder das Gerät ganz ausrangieren.“

Die Sicherheitsforscher von Team82 empfehlen folgende Abhilfemaßnahmen:

  • Stellen Sie sicher, dass das Akuvox-Gerät nicht mit dem Internet verbunden ist, um so diesen Angriffsvektor zu schließen. Allerdings verlieren Administratoren auf diese Weise die Möglichkeit, über die SmartPlus-Mobil-App aus der Ferne mit dem Gerät zu interagieren.
  • Segmentieren Sie das lokale Netzwerk und isolieren Sie das Akuvox-Gerät vom restlichen Unternehmensnetzwerk. Auf diese Weise wird verhindert, dass sich Angreifer lateral im Netzwerk bewegen können. Zudem sollte sich das Gerät nicht nur in einem eigenen Netzwerksegment befinden, sondern die Kommunikation mit diesem Segment auf ein Minimum von Endpunkten beschränkt sein. Außerdem sollten nur die Ports geöffnet werden, die für die Konfiguration des Geräts benötigt werden und der UDP-Port 8500 für eingehenden Datenverkehr deaktiviert sein, da das Erkennungsprotokoll des Geräts nicht benötigt wird.
  • Ändern Sie das Standardpasswort zum Schutz der Weboberfläche, da das Default-Passwort schwach und in der öffentlich zugänglichen Geräte-Dokumentation zu finden ist.
Akuvox
Eine Schwachstelle in der Video-Türklingel Akuvox E11 kann ausgenutzt werden, um die Kamera und das Mikrofon aus der Ferne ohne Authentifizierung zu aktivieren und die Daten an die Angreifer zu übertragen. (Foto: Claroty)

Quelle: Claroty

Andere interessante News

Hand man closely with the phone, the businessman uses the application on the smartphone to remove the door opening of the house, office.

Digitaler Ausweis macht mobile Zutrittskontrolle einfach und sicher

Die mobile Zutrittskontrolle von Primion nutzt fortschrittliche Technologie und hohe Sicherheitsstandards, zusammengeführt auf der neuen Plattform MyPrimion.

Hand using electronic smart contactless key card for unlock door in hotel or house

Elektronische Zutrittssysteme und funktionale Schlösser auf der SicherheitsExpo

Die Schweizer Glutz AG präsentiert am 26. und 27. Juni auf der Münchener SicherheitsExpo in Halle 2, Stand J15, sichere und intelligente Türlösungen. Mit dem elektronischen Zutrittssystem eAccess und funktionalen Schlössern für Außen- und Innenbereiche bietet Glutz passende Lösungen für nahezu jeden Anwendungsfall und jede Norm.

Datenschutz

Datenschutz-Community trifft sich auf den BvD-Verbandstagen 2024

Der Frühjahrskongress des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. in Berlin steht unter dem Motto „Datenschutz weiter denken – Ideen und effiziente Wege für die digitale Welt“. Höhepunkt ist der letzte Auftritt von Bundesdatenschutzbeauftragtem Prof. Ulrich Kelber, bevor Louisa Specht-Riemenschneider übernimmt. Europaabgeordneter Patrick Breyer und weitere hochkarätige Sprecher sorgen für inspirierende Beiträge.