Der US-Energie- und Elektronikriese Eaton hat eine Sicherheitslücke behoben, die einem Sicherheitsforscher den Fernzugriff auf Tausende intelligenter Sicherheitsalarmsysteme ermöglichte.
Sicherheitsforscher Vangelis Stykas sagte, er habe die Schwachstelle gefunden Eatons SecureConnectein cloudbasiertes System, das es Kunden ermöglicht, über eine Telefon-App aus der Ferne auf ihre Sicherheitsalarmsysteme zuzugreifen, diese zu verwalten und zu aktivieren und zu deaktivieren.
Stykas sagte, die Sicherheitslücke ermögliche es jedem, sich als neuer Benutzer anzumelden und dieses Konto einer anderen Benutzergruppe zuzuweisen, einschließlich einer „Root“-Gruppe, die Zugriff auf alle intelligenten Alarmsysteme hat, die mit der Cloud von Eaton verbunden sind.
Die Schwachstelle ist als unsichere direkte Objektreferenz (IDOR) bekannt, eine Klasse von Sicherheitslücken, die aufgrund schwacher oder fehlender Zugriffskontrollen auf einem Server einen unkontrollierten Zugriff auf Dateien, Daten oder Benutzerkonten ermöglicht. Stykas sagte, der Fehler sei mit Man-in-the-Middle-Tools wie Burp Suite leicht auszunutzen, indem die Gruppennummer des neuen Benutzers abgefangen und durch die Nummer der Root-Gruppe ersetzt werde, die einfach „1“ sei.
Stykas sagte, dass das Hinzufügen eines Benutzers zur Stammgruppe „Zugriff auf alles“ ermöglichte, einschließlich des Namens und der E-Mail-Adresse des registrierten Benutzers sowie des Standorts aller angeschlossenen Sicherheitsalarmsysteme. Stykas sagte, der Zugriff hätte es einem potenziellen Angreifer ermöglichen können, mit der Cloud von Eaton verbundene Sicherheitsalarmsysteme fernzusteuern – er habe dies jedoch nicht versucht.
In einem Sicherheitsbenachrichtigung Auf seiner Website veröffentlichte Eaton bestätigte, dass der Fehler in seiner Gruppenzugriffsautorisierungslogik entdeckt wurde.
Jonathan Hart, ein Sprecher von Eaton, sagte, die Sicherheitslücke sei im Mai behoben worden. Hart lehnte es ab, zu sagen, wie viele Smart-Alarm-Kunden das Unternehmen hat, obwohl Stykas sagte, dass die Zahl der mit Eaton verbundenen Smart-Alarmsysteme bei hohen Zehntausenden liege.
Eaton wollte nicht sagen, ob die Sicherheitslücke die Fernsteuerung angeschlossener Sicherheitsalarmsysteme ermöglicht. Eaton sagte, dass es sich bei der Schwachstelle „nachweislich um ein einzelnes Ereignis“ handelte, sagte aber nicht, wie man zu dieser Schlussfolgerung kam oder ob das Unternehmen über die technischen Mittel, etwa Protokollierungssysteme, verfügt, um festzustellen, ob die Schwachstelle bereits zuvor entdeckt oder ausgenutzt wurde.