Sicherheitslücken in IP-Kameras: Abus bietet Tauschprogramm

  • Allgemein

  • mad.de
  • 119 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Sicherheitslücken in IP-Kameras: Abus bietet Tauschprogramm

    Der Chaos Computer Club entdeckte schwerwiegende Lücken in Kameras von Abus – der Hersteller reagiert darauf mit einem Austauschprogramm.

    Wegen schwerwiegender Sicherheitslücken hat der Hersteller Abus ein Austauschprogramm für zwischen 2010 und 2014 verkaufte Kameramodelle gestartet. Unter anderem seien die Geräte anfällig für unbefugten Zugriff von außen. Die Schwachstellen wurden von Mitgliedern des Chaos Computer Clubs (CCC) entdeckt und dem Hersteller gemeldet, der daraufhin nun allen Besitzern gleichwertige Neuware als Ersatz anbietet – allerdings nicht gratis, sondern zu "sehr attraktiven Konditionen“.

    Prinzipiell seien die Softwarelücken behebbar gewesen, erläutert der CCC. Der Hersteller sei aber nicht mehr in der Lage gewesen, ein Softwareupdate zur Verfügung zu stellen. Denn bei den Kameras sei ein digitaler Signalprozessor eines Drittanbieters verbaut. Um ein Update zu erstellen, wäre deshalb die Entwicklungsumgebung des taiwanischen Herstellers Grain Media nötig gewesen. Genau die sei bei Abus aber "nicht mehr aufzufinden“ gewesen – und auch die Firma Grain Media habe nach einem Besitzerwechsel wohl nicht mehr aushelfen können. Zudem hätten die betroffenen Kameras auch keine Funktion für automatische Updates gehabt, was die Versorgung mit Patches noch weiter erschwert hätte.

    "Akzeptanz und Anerkennung der Schwachstellen“
    Dennoch äußern sich die Sicherheitsforscher des CCC lobend über Abus: "Unter Umgehung der üblichen Phasen von Leugnen, Zorn, Verhandeln und Trauer sprang der Hersteller Abus direkt zur sofortigen Akzeptanz und Anerkennung der Schwachstellen.“ Die Sicherheitslücken sind laut CCC im einzelnen:

    Hochkritisch: CVE-2018-17558, Fixe Administrator-Benutzerkennung mit Befehlsausführung
    Kritisch: CVE-2018-16739, Lese- und Schreibzugriff und Befehlsausführung als root
    Kritisch: CVE-2018-17879, Direkte Ausführung von Nutzereingaben
    Kritisch: CVE-2018-17878, Code-Ausführung mittels Buffer Overflow
    Schwerwiegend: CVE-2018-17559, Unautorisierter Zugriff auf Video-Stream

    Kamerabesitzer sollten sich laut der Abus-Mitteilung an ihren jeweiligen Fachhändler wenden oder alternativ direkt bei Abus nachfragen, sofern die Kontaktdaten des Händlers nicht mehr vorliegen. Folgende Kameras sind laut dem Unternehmen betroffen:

    Kompaktkameras
    TVIP10000, TVIP10001, TVIP10005, TVIP10005A, TVIP10005B, TVIP10050, TVIP10051, TVIP10055A, TVIP10055B, TVIP10500, TVIP10550, TVIP11000, TVIP11050, TVIP11500, TVIP11501, TVIP11502, TVIP11550, TVIP11551, TVIP11552

    Schwenk-/Neigekameras
    TVIP20000, TVIP20050, TVIP20500, TVIP20550, TVIP21000, TVIP21050, TVIP21500, TVIP21501, TVIP21502, TVIP21550, TVIP21551, TVIP21552, TVIP22500

    Innendome Kamera
    TVIP31000, TVIP31001, TVIP31050, TVIP31500, TVIP31501, TVIP31550, TVIP31551, TVIP32500

    Boxkamera
    TVIP51500, TVIP51550

    Außendomekamera
    TVIP71500, TVIP71501, TVIP71550, TVIP71551, TVIP72500

    Quelle: Sicherheitslücken in IP-Kameras: Abus bietet Tauschprogramm | heise online