Smarte Zugangskontrollsysteme sollen die Sicherheit in Unternehmen, Fabriken und Behörden verbessern. Mittels Chipkarte hat jeder Mitarbeiter nur zu den Bereichen Zugang, die für ihn relevant sind. Die Nutzung der Karten lässt sich protokollieren und en Detail nachvollziehen. Umso schlimmer ist es, wenn ein solches System eine Sicherheitslücke hat, so wie es offenbar bei Linear eMerge E3 der Fall ist, einem Produkt von Nortek Security & Control (NSC).

Bereits im Mai 2019 veröffentlichten Sicherheitsforscher von Applied Risk Details zu zehn Sicherheitslücken in den Linear-eMerge-E3-Produkten, von denen sechs mit einer Schwere zwischen 9,8 und 10,0 auf einer zehnstufigen Skala eingestuft wurden. Im November 2019 folgte die Veröffentlichung eines Proof of Concept. Trotzdem stellte NSC offenbar bislang keine Patches für die Sicherheitslücken zur Verfügung.

Diese Nachlässigkeit nutzen kriminelle Hacker derzeit verstärkt aus, wie ein Bericht des Firewall-Herstellers SonicWall nahelegt. Seit dem 09. Januar 2020 wird insbesondere die Sicherheitslücke CVE-2019-7256 dafür genutzt, um Schadsoftware in die Zugangssysteme einzuschleusen und diese anschließend für Denial-of-Service-Angriffe (DoS) auf andere Ziele zu nutzen. Bei CVE-2019-7256 handelt es sich um einen Fehler bei der Eingabe von Befehlen, der von Applied Risk mit dem höchstmöglichen Schweregrad bewertet wurde. Diese Sicherheitslücke kann auch von gering qualifizierten Angreifern ohne fortgeschrittene technische Kenntnisse aus der Ferne ausgenutzt werden.

Betroffen sind laut Sonic Wall insgesamt 2.375 über das Internet zugängliche Geräte, die mit der Shodan-Suchmaschine gefunden werden können. Das klingt nach nicht allzu vielen Geräten, die für einen Distributed-Denial-of-Service-Angriff (DDoS) verwendet werden können. Allerdings könnten intelligente Zugangssysteme auch als Einfallstor in die internen und weitaus sensibleren Umgebungen der betroffenen Unternehmen genutzt werden. Erst im August 2019 berichtete Microsoft, dass eine scheinbar russische Hackergruppe Internet-of-Things-Geräte (IoT) angegriffen habe, um sich so weiter in die betroffenen Systeme vorzuarbeiten. Das könnte auch den Nutzern von CVE-2019-7256 blühen, ganz davon abgesehen, dass ein gekapertes Türsystem auch andere sicherheitsrelevante Probleme mit sich bringt.

Nutzern eines betroffenen Zugangssystems wird aktuell empfohlen, das System vom Internet zu trennen, um es nicht angreifbar zu machen. Ist das nicht möglich, sollte der Zugriff auf die Geräte begrenzt werden, etwa mit einem VPN oder einer Firewall. Wünschenswert wäre ein baldiger Patch, der auch die anderen von Applied Risk beschriebenen Sicherheitslücken schließt.

 

Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Kent Gaertner
Pressereferent
Telefon: +49 (30) 3030808913
Fax: +49 (30) 30308089-20
E-Mail: gaertner@quadriga-communication.de
Eva-Maria Nachtigall
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel