Gebäude-Überwachungssystem mit eingebauten Hintertüren | heise Security

Die Gebäude-Sicherheitssoftware PremiSys enthält ungepatchte Sicherheitslücken, die von Angreifern dazu missbraucht werden können, sich Zutritt zu den Bauwerken zu verschaffen. Laut der Sicherheitsfirma Tenable, welche die Zero-Day-Lücken entdeckt hat, gibt es bisher keine Möglichkeit, diese zu beheben. PremiSys ist eine Zugangskontroll- und Gebäude-Überwachungs-Software der Firma IDenticard, einer der weltweit größten Hersteller von Zugangskarten-Systemen, die vor allem in den USA eingesetzt werden. Hierzulande verkauft die Firma ihre Produkte nur indirekt über andere Firmen.

Über einen fest in der PremiSys-Software verbauten Admin-Account kann ein Angreifer sich Zugang zu den im System verwalteten Zugangskarten verschaffen, diese exportieren und eigene Zugangskarten erstellen, mit denen er dann das Gebäude betreten kann (CVE-2019-3906). Die einzige Möglichkeit, diesen Angriff zu stoppen, scheint es zu sein, Anfragen an den Dienst Premisys WCF Service auf Port 9003 zu unterbinden.

Außerdem ist die Datenbank mit vertraulichen Nutzerdaten als Base64-kodierte gesalzene MD5-Hashes gespeichert – und kann dementsprechend leicht geknackt werden (CVE-2019-3908). Eine dritte Schwachstelle befindet sich in der Datenbank selbst, die ebenfalls eine Hintertür enthält: Über ein Standard-Login und fest eingestellte Passwörter kann man sich auch hier Zugang verschaffen (CVE-2019-3909). Auch diese Zugangsdaten können vom Nutzer des Systems nicht geändert werden.

Kein wirksamer Schutz bekannt

Tenable hatte die Lücke im September 2018 entdeckt und im Oktober versucht, IDenticard darüber zu informieren. Nachdem die Firma auch auf mehrmalige Kontaktversuche per Mail nicht reagierte, informierte die Sicherheitsfirma das zuständige CERT. Auch die CERT-Mitarbeiter bekamen keine Antwort vom Hersteller, woraufhin sich die Sicherheitsfirma nun dazu entschlossen hat, die Lücken publik zu machen.

Bisher gibt es laut Tenable keinen wirksamen Schutz gegen die Lücken. Die Sicherheitsfirma scheint sich in letzter Zeit auf Überwachungssysteme spezialisiert zu haben. Ende letzten Jahres legten Tenable-Mitarbeiter die Peekaboo-Lücke offen, über die Angreifer Schadcode auf unzähligen Überwachungs-Kamera-Systemen ausführen konnten.
(Fabian A. Scherschel) /

(fab)

Source