Домашняя сигнализация ABUS Secvest имеет уязвимость
Недавно эксперты выявили серьезную уязвимость в домашней сигнализации от производителя ABUS Secvest. Эта уязвимость CVE-2020-28973 позволяет злоумышленникам отключить удаленно сигнализацию. В связи с чем появляется естественная возможность взлома и кражи, причем угроза в равной степени актуальна как для офисов, так и для домов, квартир, потому что эта сигнализация получила широкое распространение ввиду ее доступности по цене.
Таким образом, более 10 тыс. систем домашней сигнализации ABUS Secvest, входящих в систему «умный дом» необходимо подвергнуть ревизии. Как заявила компания-производитель ABUS, проблема исправлена в январе 2021 года. Однако фактически уже через три месяца уязвимость осталась на месте, так как 90% пользователей этой системы не стали применять исправление для прошивки – просто не восприняли информацию серьезно. К процессу подключились специалисты ИБ-компании из Голландии EYE: ими было выявлено 10 тыс. уязвимых систем охранной сигнализации Secvest. Причем, по гео-локации все эти устройства в основном находятся на территории Германии, Австрии и Швейцарии.
Сама уязвимость расположена в панели web-администрирования. Эту панель пользователь использует в браузере компьютера, а также через мобильное приложение. Злоумышленники научились создавать специальный web-запрос для удаленной сигнализации Secvest с приказом на включение сирены. Созданные скрипты позволяют автоматизировать этот процесс, а значит есть возможность включить сигнализацию одновременно по всей Западной Европе.
При этом отключение сигнализации невозможно с помощью только одного запроса. Но при этом данная уязвимость может быть использована для того, чтобы получить доступ, и загрузить файл конфигурации системы охранной сигнализации – это позволит создать другие проблемы для владельцев этой сигнализации.
В этом файле содержаться все логины и пароли пользователей, которые зарегистрированы в этой системе. Используя эту возможность, злоумышленник подключается к к системе охранной сигнализации через настоящие учетные данные, и получает доступ к управлению, имеет возможность отключить сигнализацию.
При этом имя системы охранной сигнализации, IP-адрес в руках злоумышленника – это получение свободного доступа к необработанным данным от каналов камеры системы видеонаблюдения. А значит становится доступным и физическое расположение системы безопасности с этой сигнализацией.
![](/upload/landing/a62/3ajry3d4q750kxu6g1fbrnvn8c57k34k/fd476e8fb0fbb2d5d41d4890a86d2906@1x.jpg)
![](/upload/landing/801/8c5f9eg50k1r7o9o8fv0cdyj6se7dkjl/вакансии_плашка@1x.png)
СТАТЬИ
Видеонаблюдение
![](/upload/landing/995/1t6vloin1euhd30mo9lr4ibusi6u4vk0/вакансии_плашка@1x.png)
СТАТЬИ
Охранные системы
![](/upload/landing/816/kmza476o0ll6zoikuqjjs6oz79nhoivm/вакансии_плашка@1x.png)
СТАТЬИ
Пожаробезопасность
![](/upload/landing/2ea/jutvgj2qbf9zyg230kciaw6v2crhnxzz/вакансии_плашка@1x.png)
СТАТЬИ
СКУД
![](/upload/landing/5ff/du3f9yjet12idswied3y2upqllqr92lw/вакансии_плашка@1x.png)
СТАТЬИ
Охрана дома
![](/upload/landing/a46/uu8t24ldbdtsuri79o8fx7tljefvm8to/вакансии_плашка@1x.png)
СТАТЬИ
Охрана бизнеса
![](/upload/landing/c8d/ji8u5twfwj5akzd7ma6eosdrld13rjld/вакансии_плашка@1x.png)
Пультовая охрана
![](/upload/landing/f43/3akqmmjls1wkmm8a5pgy61nxkf3hyr3g/вакансии_плашка@1x.png)
Физическая охрана
![](/upload/landing/89e/il1sfzpfsrdqvz3hck81wvwscexzqfgw/вакансии_плашка@1x.png)
Инкассация
![](/upload/landing/1b7/tknalqarl4d8pguaa96dsm0sl1fd8x6h/вакансии_плашка@1x.png)
Проектирование СБ
![](/upload/landing/f9b/j15o8etpp4ndir3f5yr9quwcvnusvu6q/вакансии_плашка@1x.png)
Тех. средства
![](/upload/landing/c82/ioz7dsdt3lnbsyvrgfdeqdxlc11f4pp0/вакансии_плашка@1x.png)
Сервис.обслуживание
©2016-2023 © Группа Безопасности "Пантера"
Все права защищены