Gebäudeautomatisierung wird zur Wanze: Bugs in Crestron-Systemen
Büros, Unis, Flughäfen, Hotels, Privathäuser - Bugs in Crestron-Produkten lassen die Komponenten zu Wanzen werden - übers Internet, Kamerabilder inklusive.
(Bild: metamorworks/Shutterstock.com)
Der in den Diensten von Trend Micro stehende Hacker Ricky Lawshae hat während der Hackerkonferenz Def Con demonstriert, wie schlecht Crestron-Gerätschaften abgesichert sind: Bei Telnet-Verbindungen über Port 41795 verlangen Geräte wie die Controller der Serie 3 oder die zur Steuerung verwendeten Touchscreens TSW-760-B-S weder Nutzernamen noch Passwort. Im Auslieferungszustand ist keine Authentifizierung nötig, um sich als Administrator mit den Geräten zu verbinden.
Laut Lawshae würden Integratoren, die Crestron-Lösungen verbauen, in der Regel auf das Aktivieren der Authentifizierung verzichten, da die hierzu notwendigen Schritte nicht selbsterklärend sind. Eine Suche mit der IoT-Suchmaschine shodan.io bestätigt diese Aussage: Mehr als 20.000 Crestron-Komponenten sind frei vom Internet aus zugänglich, darunter auch in deutschen Unis und Kliniken installierte Geräte.
Fernbedienung wird zur Wanze
Einmal mit den zumeist auf Windows CE 6 oder Android laufenden Touchscreens verbunden, können Angreifer beispielsweise Audio- und Videodateien abspielen, den Webbrowser beliebige Webseiten anzeigen lassen oder per recwave-Kommando beliebig lange Aufzeichnungen über das im Gerät verbaute Mikrofon starten, die Fernbedienung wird so zur Wanze.
Die erzeugten Wave-Dateien lassen sich per FTP oder Xmodem vom Touchscreen herunter laden. Da Crestron nach eigenen Angaben diverse Polizeistationen, Großunternehmen und mindestens ein Parlament zu seinen Kunden zählt, ist es wahrscheinlich, dass die in der Nähe der Geräte geführten Unterhaltungen sensible Inhalte haben.
Zugriff auf Webcam ohne Hinweise
Damit ist aber noch nicht Schluss, Angreifer können sich noch weitere Rechte verschaffen: Der Hacker entdeckte zwei fest hinterlegte, nicht dokumentierte Superuser-Konten (crsuperuser und crengsuperuser). Sie sind auf allen Crestron-Geräten vorhanden, die "sudo" im Befehlssatz haben. Das Kennwort der User ist 16 Zeichen lang und wird mittels eines Algorithmus auf Basis der MAC-Adresse der Hardware generiert. Da der Algorithmus in der Firmware des Geräts abgelegt ist, konnte der Hacker die Funktion nachbauen und so das Kennwort erzeugen lassen.
(Bild: Uli Ries)
In Kombination mit mehr als 20 Command Injections, die der Hacker in Kommandos wie adduser, cd, dir, makedir oder pin gefunden hat, machte der Superuser crengsuperuser die Gerätschaften dann zur perfekten Wanze: Lawshae konnte das Konfigurationsfile auf dem Android-basierten Touchscreen editieren, das die Streaming-Einstellungen kontrolliert. Entsprechend konfiguriert, zeichnete das Gerät mittels der eingebauten Webcam alles im Raum auf und schickte den Stream an den VLC Player auf dem Notebook des Angreifers. Auf dem Touchscreen selbst ist davon nichts zu erkennen.
Hotelzimmer-Überwachung
Selbst wenn IT-Administratoren die Crestron-Geräte in ein eigenes Netzwerksegment oder VLAN packen, ist die Gefahr nicht gebannt: In einem Hotel beispielsweise müsste ein Angreifer lediglich das Ethernetkabel aus der Crestron-Komponente – die im Fall des Touchscreens teilweise frei auf Nacht- oder Schreibtischen steht – ziehen und in sein Notebook stecken, um die Zimmer anderer Gäste zu überwachen.
Crestron hat nach Aussage von Lawshae einen Tag vor dem Vortrag Updates veröffentlicht, die zumindest einen Teil der Sicherheitslücken schließen. Die unsichere Konfiguration, die den Konsolenzugriff ohne Passwortabfrage erlaubt, müssen Administratoren aber von Hand umbiegen, um auch dieses Scheunentor zu schließen. (bme)
