Home » News » Intelligente Gegensprechanlage entpuppt sich als gravierendes Sicherheitsrisiko

Intelligente Gegensprechanlage entpuppt sich als gravierendes Sicherheitsrisiko

Sicherheitsforscher haben besorgniserregende Erkenntnisse zutage gefördert: Bei der intelligenten Gegensprechanlage Akuvox E11 wurden mehrere Zero-Day-Schwachstellen aufgedeckt, die ein erhebliches Risiko für die Privatsphäre und die Sicherheit der Verbraucher darstellen. Trotzdem scheint der renommierte chinesische Hersteller keine Anstalten zu machen, auf die bedenkliche Situation zu reagieren. Alle Nachfragen und Kontaktversuche seitens der Forscher stoßen auf taube Ohren. Eine äußerst bedenkliche Entwicklung, die besondere Aufmerksamkeit erfordert.

3 Min. Lesezeit
Gegensprechanlage
Foto: ©AdobeStock/polkadot

Experten haben herausgefunden, dass die entdeckten Schwachstellen es Angreifern ermöglichen, die Kamera und das Mikrofon aus der Ferne zu aktivieren und Türschlösser zu deaktivieren – und das überall, wo die betroffene Gegensprechanlage Akuvox E11 im Einsatz ist, sei es in Wohnhäusern, Bürogebäuden oder medizinischen Einrichtungen. Trotz der schwerwiegenden Risiken sind die Schwachstellen bislang nicht behoben worden, da der Hersteller seit Januar 2022 auf mehrere Kontaktversuche von Team82 der Forschungsabteilung von Claroty sowie weiteren CERT-Organisationen nicht reagiert hat. Die Schwachstellen können über zwei Hauptangriffsvektoren ausgenutzt werden:

  • Remote-Code-Ausführung:
    Zwei der von Team82 gefundenen Schwachstellen (fehlende Authentifizierung für eine kritische Funktion/CVE-2023-0354 und eine Befehlsinjektionsschwachstelle/CVE-2023-0351) können verknüpft werden, um Code aus der Ferne im lokalen Netzwerk auszuführen. Wenn ein anfälliges Gerät mit dem Internet verbunden ist, kann ein Angreifer diese Schwachstellen nutzen, um die Kontrolle über das Gerät zu übernehmen, beliebigen Code auszuführen und sich lateral im Netzwerk zu bewegen. Laut der Akuvox-Website sind diese Geräte die „erste Verteidigungslinie“ in Altersheimen, Lagerhallen, Wohngebäuden, Parkgaragen, medizinischen Einrichtungen und Einfamilienhäusern.
  • Steuerung der Kamera aus der Ferne:
    Eine weitere Schwachstelle (CVE-2023-0348) kann ausgenutzt werden, um die Kamera und das Mikrofon aus der Ferne ohne Authentifizierung zu aktivieren und die Daten an die Angreifer zu übertragen. In datenschutzsensiblen Organisationen, wie zum Beispiel Gesundheitszentren, kann dies zu einem Verstoß gegen zahlreiche Vorschriften führen, welche die Privatsphäre der Patienten schützen sollen.

Keine Reaktion des Herstellers

Akuvox E11 ist nach vielen erfolglosen Versuchen seitens Team82, den Hersteller zu kontaktieren und die Offenlegung zu koordinieren, immer noch nicht gepatcht. Akuvox gilt als ein weltweit führender Anbieter von SIP-basierten intelligenten Gegensprechanlagen. Die Bemühungen, das chinesische Unternehmen zu erreichen, begannen im Januar 2022. Im Laufe der Zeit wurden mehrere Support-Tickets von Team82 eröffnet und vom Hersteller sofort geschlossen, bevor das Konto schließlich am 27. Januar 2022 gesperrt wurde. Daraufhin schalteten die Sicherheitsforscher das CERT Coordination Center (CERT/CC) ein, das ebenfalls mehrfach vergeblich versuchte, den Anbieter zu kontaktieren. Nach monatelangen erfolglosen Versuchen teilte Team82 seine Erkenntnisse im Dezember dem ICS-CERT mit. Das ICS-CERT hatte ebenfalls keinen Erfolg bei der Zusammenarbeit mit Akuvox und veröffentlichte nun einen Bericht, in dem 13 von Team82 gefundene Schwachstellen beschrieben werden. Die Auswirkungen dieser Schwachstellen reichen von fehlender Authentifizierung, hartkodierten Verschlüsselungsschlüsseln, fehlender oder unsachgemäßer Autorisierung bis hin zur Preisgabe sensibler Informationen an unbefugte Benutzer. „Wir glauben, dass es im besten Interesse der Anwender ist, diese Informationen weiterzugeben, in der Hoffnung, dass sie proaktive Schutz-Maßnahmen ergreifen können. Sie sollten die Abhilfemaßnahmen ergreifen, die wir empfohlen haben, den Hersteller unter Druck setzen, diese Schwachstellen tatsächlich zu beheben, oder das Gerät ganz ausrangieren.“

Die Sicherheitsforscher von Team82 empfehlen folgende Abhilfemaßnahmen:

  • Stellen Sie sicher, dass das Akuvox-Gerät nicht mit dem Internet verbunden ist, um so diesen Angriffsvektor zu schließen. Allerdings verlieren Administratoren auf diese Weise die Möglichkeit, über die SmartPlus-Mobil-App aus der Ferne mit dem Gerät zu interagieren.
  • Segmentieren Sie das lokale Netzwerk und isolieren Sie das Akuvox-Gerät vom restlichen Unternehmensnetzwerk. Auf diese Weise wird verhindert, dass sich Angreifer lateral im Netzwerk bewegen können. Zudem sollte sich das Gerät nicht nur in einem eigenen Netzwerksegment befinden, sondern die Kommunikation mit diesem Segment auf ein Minimum von Endpunkten beschränkt sein. Außerdem sollten nur die Ports geöffnet werden, die für die Konfiguration des Geräts benötigt werden und der UDP-Port 8500 für eingehenden Datenverkehr deaktiviert sein, da das Erkennungsprotokoll des Geräts nicht benötigt wird.
  • Ändern Sie das Standardpasswort zum Schutz der Weboberfläche, da das Default-Passwort schwach und in der öffentlich zugänglichen Geräte-Dokumentation zu finden ist.
Akuvox
Eine Schwachstelle in der Video-Türklingel Akuvox E11 kann ausgenutzt werden, um die Kamera und das Mikrofon aus der Ferne ohne Authentifizierung zu aktivieren und die Daten an die Angreifer zu übertragen. (Foto: Claroty)

Quelle: Claroty

Andere interessante News

Stationäre Löschanlage

Stationäre Löschanlagen bei Entstehungsbränden besonders wirksam

Der Bundesverband Technischer Brandschutz e.V. hat seine Löschanlagenstatistik für das Jahr 2023 veröffentlicht. Die Statistik basiert auf 85 anonymisierten Meldungen von Betreibern, Errichtern und Herstellern stationärer Löschanlagen. Demnach haben EDV-Anlagen, elektrische Schaltanlagen und Werkzeugmaschinen das höchste Brandrisiko. Stationäre Löschanlagen erwiesen sich als effektiv und verursachten die geringsten Schäden.

Finanzkriminalität

BioCatch und Google Cloud bekämpfen Finanzkriminalität

BioCatch und Google Cloud haben eine weitreichende Partnerschaft angekündigt. Ihr Ziel ist es, gemeinsam die zunehmende Finanzkriminalität in Schwellenländern proaktiv zu bekämpfen.

THW

THW stellt Bilanz zum Jahr 2023 vor

Im Jahr 2023 waren THW-Kräfte stark gefordert: Über 5.500 Einsatzkräfte verbrachten mehr als 181.000 Stunden bei Einsätzen, darunter die Bewältigung von Überflutungen durch Sturmtief Zoltan sowie Hilfeleistungen nach Sturmfluten an der Ostsee und Erdbeben in der Türkei und Syrien. Der digitale THW-Jahresbericht fasst diese vielseitigen Einsätze zusammen, erstmals ausschließlich online veröffentlicht.