Firmware-Update: IP-Alarmsystem Lupusec XT2 Plus schützt nur lückenhaft

Besitzer des Smart-Home-Alarmystems Lupusec XT2 Plus von Lupus Electronics sollten dringend die Aktualität ihrer Firmware überprüfen. Die Geräte wiesen vor Firmware-Version 0.0.3.0 insgesamt vier Schwachstellen auf, über die sich unauthentifizierte Angreifer aus der Ferne schlimmstenfalls die volle Kontrolle über die Alarmanlage verschaffen konnten – etwa um diese neu zu konfigurieren oder zu deaktivieren.

Die in einem auf seclists.org veröffentlichten Security Advisory beschriebenen Schwachstellen ermöglichen Man-in-the-Middle-Angriffe, den Diebstahl von PIN-Nummern und Nutzer-Passwörtern aus einer Konfigurationsdatei, das Errechnen des Root-Passworts anhand der gerätespezifischen (aus der Ferne abrufbaren) MAC-Adresse sowie das Zurücksetzen von Anmeldeinformationen auf beliebige Werte.

Neue Firmware-Version steht bereit

Der Sicherheitsforscher, der die Schwachstellen entdeckt hat, informierte Lupus Electronics nach eigenen Angaben im Januar dieses Jahres. Der Hersteller ließ verlauten, dass er sich der Sicherheitsrisiken bewusst sei und diese im Zuge des nächsten Firmware-Releases beheben werde.

Die neue, laut Hersteller abgesicherte Firmware 0.0.3.0 steht auf der XT2-Plus-Produktseite zum Download bereit. Der Forscher selbst weist darauf hin, nicht getestet zu haben, ob die Schwachstellen behoben wurden. Er rät dazu, den Fernzugriff auf das Alarmsystem nur via VPN zuzulassen.

Update 08.04.19, 11:10: Wie Lupus Electronics gegenüber der heise-Security-Redaktion telefonisch verlauten ließ, hat das Unternehmen die Schwachstellen bereits im Oktober vergangenen Jahres geschlossen. Anders als auf seclist.org zu lesen, habe die – laut Lupus Electronics von AV Test untersuchte und als "sicher" zertifizierte – Firmware 0.0.3.0 dementsprechend ab Oktober 2018 bereitgestanden. Um sicherzustellen, dass betroffene Geräte künftig geschützt sind, habe man sie mittels Auto-Update ausgeliefert. (ovw)