heise PlusAbo
Anzeige

Zutrittskontrollsysteme: dormakaba behebt teils kritische Sicherheitslücken

Die gut zwanzig Lücken finden sich im Access Manager, der Registriereinheit und im Exos-Server für Unternehmens-Schließsysteme. Der Meldeprozess dauerte Jahre.

vorlesen Druckansicht 8 Kommentare lesen
Türschloss mit Codeinegabe - darauf die Aufschrift „Code 1, 2, 3, 4“

Schlösser mit Zahlencode wie im Symbolbild gibt es bei dormakaba nicht.

(Bild: Daniel AJ Sokolov / heise medien)

Lesezeit: 4 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Der Schweizer Hersteller für Sicherheits- und Schließsysteme dormakaba hat mehrere, teils kritische Sicherheitslücken in seinen Produkten behoben. Den Fixes war ein jahrelanger Melde- und Verbesserungsprozess vorangegangen. Angreifer mit Netzwerkzugriff auf die dormakaba-Verwaltungsserver in Unternehmen konnten unter anderem hartkodierte Zugangsdaten und einfach zugängliche Lötstellen missbrauchen.

Manches Mal ist eine „Responsible Disclosure“ an einen Hersteller schnell und unproblematisch: Problemmeldung und Behebung durch den Hersteller liegen im Idealfall nur Stunden oder Tage auseinander. Doch bisweilen dauert es länger, so bei dormakaba. Bereits im April 2024, also vor fast zwei Jahren, nahm der Sicherheitsdienstleister SEC Consult mit dem Unternehmen Kontakt auf und meldete zwanzig, teils kritische Sicherheitslücken. Nachdem der Schweizer Konzern zwei Wochen später die internen Zuständigkeiten geklärt hatte, begann ein anderthalbjähriger Meeting- und Konferenzmarathon, an dessen Ende nun die Veröffentlichung aller Lücken steht.

Die Sicherheitsprobleme beziehen sich hauptsächlich auf die Produkte Kaba exos 3000 und den dormakaba Zutrittsmanager („Access Manager“), professionelle Lösungen zur Zutrittssicherung für Unternehmen. Diese bestehen nicht nur aus Soft-, sondern auch aus Hardware: So ist der Zutrittsmanager ein schwarzes Kästchen, das etwa im Schaltschrank installiert wird. Kaba exos 3000 kommt überall dort zum Einsatz, wo sich Schließberechtigungen häufig ändern, etwa durch regelmäßige Besucher.

Viele Sicherheitslücken, sagte ein Vertreter der Melder von SEC Consult heise security, seien bereits vor Veröffentlichung des Sammeleintrags im Unternehmensblog behoben gewesen. Ein dormakaba-Pressesprecher schränkt weiter ein: Um die Schwachstellen ausnutzen zu können, benötige ein Angreifer vorherigen Zugriff auf das Netzwerk des Kunden. „Insgesamt sind uns keine Fälle bekannt, bei denen die identifizierten Schwachstellen ausgenutzt wurden“, sagte der Hersteller.

Videos by heise

Dennoch liest sich die Liste der Sicherheitslücken beunruhigend: Von hartkodierten, schwachen Passwörtern ist da die Rede, von ungesicherten APIs und RPC-Diensten (Application Programming Interface bzw. Remote Procedure Call) und einer lokalen Privilegienausweitung. Einige der Fehler ermöglichten „Schlösserknacken, ohne die Hände zu benutzen“ – diesen Titel wählten die Finder für ihren langen Blogartikel mit Details zu allen Lücken.

Fast zwei Dutzend Lücken

Folgende Lücken mit hohem und kritischem Schweregrad in Kaba exos 9300 sind behoben:

  • CVE-2025-59090 (CVSS 9,3 „kritisch“): Ungesichertes SOAP API, behoben in Versionen >= 4.4.0,
  • CVE-2025-59091 (CVSS 9,3 „kritisch“): Hartkodierte Zugangsdaten zu vier Benutzerkonten, behoben in Versionen >= 4.4.1,
  • CVE-2025-59092 (CVSS 8,7 „hoch“): RPC-Dienst ohne Authentifizierung, behoben ab Version 4.4.0,
  • CVE-2025-59093 (CVSS 8,5 „hoch“): Unsichere Passworterstellung mit zu wenig Zufall, manuelle Aktualisierung der Passwörter notwendig,
  • CVE-2025-59094 (CVSS 8,4 „hoch“): Lokale Privilegienausweitung, nur manuell zu beheben.

Im „Access Manager 92xx k5/k7“ gab es ebenfalls einige Funde mit hohem oder kritischem Schweregrad. Teilweise sind sie nicht oder nur durch manuelle Intervention behebbar – Details verrät der Blogartikel von SEC Consult.

  • CVE-2025-59097 (CVSS 9,3 „kritisch“): Ungesichertes SOAP API,
  • CVE-2025-59103 (CVSS 9,2 „kritisch“): Hartkodierte und mangelhafte Passwörter beim SSH-Dienst,
  • CVE-2025-59108 (CVSS 9,2 „kritisch“): Das Standardpasswort des Webinterface lautet „admin“,
  • CVS-2025-59099 (CVSS 8,8 „hoch“): Pfadmanipulation erlaubt den Download beliebiger Dateien,
  • CVE-2025-59098 (CVSS 8,7 „hoch“): Eine Debugging-Funktion plaudert sensible Daten aus,
  • CVE-2025-59107 (CVSS 8,5 „hoch“): Statisches Passwort für verschlüsselte Firmware-ZIPs,
  • CVE-2025-59104 (CVSS 7,0 „hoch“): Angreifer mit Zugriff auf das Gerät können per Lötverbindung auf den unverschlüsselten Bootloader zugreifen,
  • CVE-2025-59105 (CVSS 7,0 „hoch“): Flashspeicher der Geräte ist nicht verschlüsselt und könnte nach dem Auslöten ausgelesen werden.

Nach Behebung aller Lücken bleibt für die Sicherheitsexperten von SEC Consult eine Schwachstellenmeldung der besonderen Art. „Derartiger Research ist selten, weil diese Systeme für unabhängige Tester fast nie realistisch zugänglich sind, und genau deshalb war es besonders spannend, sie ganzheitlich überprüfen zu können, von Web-Komponenten über Infrastruktur bis hin zu Reverse Engineering und das Zerlegen von Hardware“, beschrieb Sicherheitsforscher Werner Schober.

Und ein dormakaba-Sprecher erläuterte, warum man sich fast zwei Jahre Zeit für Bugfixes ließ: „Wir haben über die Zeit schrittweise via Standard-Releases die Schwachstellen geschlossen; dazu gehören auch Feldtests mit ausgewählten Kunden.“

(cku)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten