Sicherheitslücken in IP-Kameras: Abus bietet Tauschprogramm
Der Chaos Computer Club entdeckte schwerwiegende Lücken in Kameras von Abus – der Hersteller reagiert darauf mit einem Austauschprogramm.
Überwachungskamera von Abus im Skigebiet Annaberg
(Bild:
Wegen schwerwiegender Sicherheitslücken hat der Hersteller Abus ein Austauschprogramm für zwischen 2010 und 2014 verkaufte Kameramodelle gestartet. Unter anderem seien die Geräte anfällig für unbefugten Zugriff von außen. Die Schwachstellen wurden von Mitgliedern des Chaos Computer Clubs (CCC) entdeckt und dem Hersteller gemeldet, der daraufhin nun allen Besitzern gleichwertige Neuware als Ersatz anbietet – allerdings nicht gratis, sondern zu "sehr attraktiven Konditionen“.
Prinzipiell seien die Softwarelücken behebbar gewesen, erläutert der CCC. Der Hersteller sei aber nicht mehr in der Lage gewesen, ein Softwareupdate zur Verfügung zu stellen. Denn bei den Kameras sei ein digitaler Signalprozessor eines Drittanbieters verbaut. Um ein Update zu erstellen, wäre deshalb die Entwicklungsumgebung des taiwanischen Herstellers Grain Media nötig gewesen. Genau die sei bei Abus aber "nicht mehr aufzufinden“ gewesen – und auch die Firma Grain Media habe nach einem Besitzerwechsel wohl nicht mehr aushelfen können. Zudem hätten die betroffenen Kameras auch keine Funktion für automatische Updates gehabt, was die Versorgung mit Patches noch weiter erschwert hätte.
"Akzeptanz und Anerkennung der Schwachstellen“
Dennoch äußern sich die Sicherheitsforscher des CCC lobend über Abus: "Unter Umgehung der üblichen Phasen von Leugnen, Zorn, Verhandeln und Trauer sprang der Hersteller Abus direkt zur sofortigen Akzeptanz und Anerkennung der Schwachstellen.“ Die Sicherheitslücken sind laut CCC im einzelnen:
- Hochkritisch: CVE-2018-17558, Fixe Administrator-Benutzerkennung mit Befehlsausführung
- Kritisch: CVE-2018-16739, Lese- und Schreibzugriff und Befehlsausführung als root
- Kritisch: CVE-2018-17879, Direkte Ausführung von Nutzereingaben
- Kritisch: CVE-2018-17878, Code-Ausführung mittels Buffer Overflow
- Schwerwiegend: CVE-2018-17559, Unautorisierter Zugriff auf Video-Stream
Kamerabesitzer sollten sich laut der Abus-Mitteilung an ihren jeweiligen Fachhändler wenden oder alternativ direkt bei Abus nachfragen, sofern die Kontaktdaten des Händlers nicht mehr vorliegen. Folgende Kameras sind laut dem Unternehmen betroffen:
Kompaktkameras
TVIP10000, TVIP10001, TVIP10005, TVIP10005A, TVIP10005B, TVIP10050, TVIP10051, TVIP10055A, TVIP10055B, TVIP10500, TVIP10550, TVIP11000, TVIP11050, TVIP11500, TVIP11501, TVIP11502, TVIP11550, TVIP11551, TVIP11552
Schwenk-/Neigekameras
TVIP20000, TVIP20050, TVIP20500, TVIP20550, TVIP21000, TVIP21050, TVIP21500, TVIP21501, TVIP21502, TVIP21550, TVIP21551, TVIP21552, TVIP22500
Innendome Kamera
TVIP31000, TVIP31001, TVIP31050, TVIP31500, TVIP31501, TVIP31550, TVIP31551, TVIP32500
Boxkamera
TVIP51500, TVIP51550
Außendomekamera
TVIP71500, TVIP71501, TVIP71550, TVIP71551, TVIP72500
(axk)
