l+f: Vom Geschirrspüler auf den Webserver

Warum braucht ein Reinigungs- und Desinfektionsautomat einen Webserver? Zur Prozessdokumentation und um angegriffen zu werden.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Lesezeit: 1 Min.

Der Sicherheitsforscher Jens Regel stieß im internen Webserver PST10 des medizinischen Reinigungsgerätes PG 8528 von Miele auf eine Sicherheitslücke (CVE-2017-7240). Angreifer sollen aus der Ferne ohne Authentifizierung mittels einer Directory-Traversal-Attacke auf Daten zugreifen können.

Als Proof of Concept veröffentlicht Regel ein Shadow-Passwort für Root-Nutzer. Das von der Schwachstelle ausgehende Risiko ist mit dem Bedrohungsgrad "mittel" und einem CVSS Base Score 5.0 von 10 eingestuft. Wer den Geschirrspüler in sein Netzwerk integriert, könnte sein Netz dadurch angreifbar machen.

Eigenen Angaben zufolge hat Regel Miele bereits im November vergangenen Jahres informiert. Bis dato gebe es trotz mehrmaligem Nachfragen keinen Sicherheitspatch.

lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security

(des)