Ankündigung

Einklappen
Keine Ankündigung bisher.

BAB-Tec EibPort: Unterstützung gesucht für tiefergehende Schwachstellen Untersuchung

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
    #1

    BAB-Tec EibPort: Unterstützung gesucht für tiefergehende Schwachstellen Untersuchung

    Hallo Forenmitglieder, hier im speziellen die Besitzer eines BAB-Tec EibPort v3

    ich bin kein ausgewiesener Sicherheitsexperte, auch kein Vollzeit Sicherheitsforscher, bin aber in der Software Branche zu Hause und habe das Verständnis mögliche Schwachstellen eventuell erkennen zu können.
    Ich teste gerne Software, bis sie kaputt ist (Nur ein Tester versteht diese Aussage ;-) und die möglichen Auswirkungen der Fehler können am Ende auch zur Aufdeckung von Schwachstellen führen.
    Blut geleckt für solche Analysen habe ich wegen meiner eigenen Smart Home Zentrale, die dank eines SSH Zugangs relativ einfach zu analysieren war. In diesem Fall hat sich mir der tiefe Abgrund offenbart.

    Das muss aber nicht bei jedem Hersteller so sein.

    In der KNX Welt sind am Ende sehr viele Geräte auch nur eine Art IoT Gerät, die teils auf einem Linux basieren und ich habe mittlerweile schon folgende Geräte angefangen zu analysieren:
    ISE Smart Connect Serie
    Gira KNX IP-Router
    Gira-X1
    Gira eNet Server
    BAB-Tec EibPort v3

    Hier fängt meine Anfrage an Besitzer eines EibPorts an, denn ich möchte die Welt der Dinge etwas sicherer machen.

    Die Firmware für die Updates scheint GPG verschlüsselt, somit kann ich diese nicht ohne weiteres entpacken. Und bei dem Preis kaufe ich mir auch keines Just for Fun.
    Der EibPort bietet die Möglichkeit eines SSH Zugangs und somit kann man die komplette Firmware extrahieren und sehr wahrscheinlich auch den passenden Schlüssel um die Firmware Datei zu entschlüsseln, so wie während eines Updateprozesses.

    Ich frage nun also Besitzer eines EibPort v3, ob sie mir helfen würden an weitere detaillierte Daten des Gerätes zu kommen, um im Besten Fall nichts Schlimmes zu finden, oder im schlimmsten Fall eben doch Schwachstellen aufzudecken.
    EibPort Geräte sind verglichen mit anderen KNX Geräten viel häufiger im Internet zu finden mit den üblichen IoT Suchmachinen. Mitte August waren es über 2200 Geräte. Keine Ahnung ob es die alten Empfehlungen des Herstellers sind, Portforwarding zu nutzen, anstatt wie heutzutage ein VPN einzusetzen oder ob dies Geräte mit LTE für direktes Internet sind.

    Jedenfalls kommt hier eine gefährliche Kombination zusammen, denn viele dieser Geräte besitzen sicher nicht die aktuellste Firmware.
    EibPort Besitzer sind wohl Update Muffel.

    Wenn mich jemand unterstützen möchte und somit die Sicherheit seines EibPorts und die der anderen erhöhen möchte, kann er mich gerne kontaktieren.
    Es wäre jedoch gut, wenn der Benutzer selbst auch mind. Linux Grundkenntnisse besitzt und die Befehle versteht, die ich gerne ausgeführt haben möchte.
    Ein kompletter Firmware Abzug wäre das Beste, aber es gibt sicher auch andere Details zu wissen.

    Zuletzt geändert von psytester; 19.07.2021, 19:52. Grund: hat sich erleditgt
    Stichworte: -
    #2
    Eine Möglichkeit an EIBPORT V3 Inhalt ranzukommen, wäre über die interne Micro-SD Karte wovon es bootet und wo alle Daten drauf sind (siehe hier). Anderer Tipp sind die vielen Bab-Tec Java-Programme, die über deren Webseite herunterladbar sind, anzuschauen.
    Zuletzt geändert von xrk; 07.09.2020, 22:37.
    Winston Churchill hat mal gesagt: "Ein kluger Mann macht nicht alle Fehler selbst. Er gibt auch anderen eine Chance.“

    Kommentar

      #3
      Hallo,

      da im Bereich Gebäudetechnik (ohne KNX/EIB) für meine ähnliche Anfrage zum eNet Server eine erste Antwort kam, die soweit auch nachvollziebar ist, möchte ich hier also doch noch etwas ausholen.

      Das mit den verifizierbaren Referenzen ist in der Tat dahingehend schwierig, als das ich solche Analysen nicht im Auftrag einer Firma mache, sondern als Hobby.
      Meine Eingangs erwähnter Satz "ich bin kein ausgewiesener Sicherheitsexperte, auch kein Vollzeit Sicherheitsforscher" sollte sich darauf beziehen, das ich keine CPU side-channel attacks aufspüre oder andere abgefahrene (theoretische) Dinge tue.
      Die von mir gefundenen Schachstellen, sind allesamt den Herstellern gemeldet worden und als CVEs veröffentlicht.
      Derzeit schon 17 an der Zahl:
      CVE-2019-9582
      CVE-2019-9583
      CVE-2019-9584
      CVE-2019-9585
      CVE-2019-13030
      CVE-2019-14473
      CVE-2019-14474
      CVE-2019-14475
      CVE-2019-14984
      CVE-2019-14985
      CVE-2019-14986
      CVE-2019-16199
      CVE-2019-18937
      CVE-2019-18938
      CVE-2019-18939
      CVE-2019-19643
      CVE-2020-12834

      Der 18. CVE kommt demnächst, wenn der betreffende Hersteller nachgeliefert hat (oder auch nicht):
      CVE-2020-24573

      Ja, es hat auch viel mit Vertrauen zu tun, aber ich möchte mich weder remote auf das Ding einloggen, noch irgendwelche Downloads starten lassen von unbekannten Quellen.
      Mir ist auch der Inhalt einiger sensibler Dateien insoweit egal, als das diese keinem etwas angehen.
      Der Klammerbeutel kann in der Kammer bleiben, eine Zusammenarbeit würde nur Zielführend sein, wenn derjenige auch weiß, was er auf dem System macht.

      Anfänglich sind es immer die Low Hanging Fruits, die ein für mich neues System für mich interessant machen.

      Es muss mir keiner helfen, es wäre nur schön. Zumindest für die vielen unbedarften Besitzer, die sich gar nicht vorstellen können, wie einfach manche Schwachstellen ausnutzbar sind.
      Da genügend Leute ihre Systeme ins Internet hängen, ohne zu erahnen, was das bedeuten kann, wäre etwas mehr Grundsicherheit in der Welt der Dinge ganz gut.

      Es ist und bleibt ein Hobby von mir, ohne offizielle Vita oder großer öffentliche Reputation.

      Kommentar

        #4
        Halloxrk,

        danke für die Antwort. Das mit der internen Micro-SD Karte ist natürlich ein sehr schöner Weg, zumal man dann ein komplettes Image ziehen könnte.

        Dann kommt nur noch das Henne / Ei Problem in Form von die Daten rausrücken und dem Vertauen mir gegenüber.
        Wir werden ja sehen ob ich hier Unterstützer finde, oder doch nicht. Ein Versuch ist es Wert.

        Kommentar

          #5
          Du fragst nach intime KNX Daten von Benutzern dieses Forums, möchtest aber nicht mal deinen Namen weder in Forum hier, noch auf deiner Webseite https://psytester.github.io/ offenbaren. Da frage ich mich, welchen Grund es für angehenden Sicherheitsexperten geben kann, dass obendrauf nach eigene Aussagen gutes für die Allgemeinheit möchte, hinter Anonymität verstecken zu müssen. Auch wenn Du ehrliche Absichten hast, solche anonyme Datenfragerei hat leider Beigeschmack von Phishing... und ich vermute dass Du mit aktuellem Auftreten nicht genug Vetrauen aufbauen könntest um jemanded hier dazu zu bewegen Dich zu helfen.
          Möchtest Du vielleicht doch ein wenig mehr erst über Dich verraten?
          Winston Churchill hat mal gesagt: "Ein kluger Mann macht nicht alle Fehler selbst. Er gibt auch anderen eine Chance.“
          • Likes 1

          Kommentar

            #6
            Da es schon für weniger Gründe Anfeindungen von Fanboys gab, möchte ich einfach nicht mit meinem Klartext Namen im Internet auftreten.
            Das ist meine persönliche Entscheidung. In der direkten privaten Kommunikation habe ich damit kein Problem mich zu offenbaren.

            Intime KNX Daten will ich gar nicht haben, die gehen mich nichts an.
            Ich weiß nicht was daran Phishing ist, die generische Firmware Entpackungs Routine zu entziffern oder das Alter des zugrunde liegenden Linux herauszubekommen.
            Das muss jeder für sich selbst entscheiden.
            Wenn mich am Ende keiner unterstützen möchte, auch gut, dann ist das halt so.

            Kommentar

              #7
              Ein mit dd erzeugtes Image von fabrikneuen EIBPORT V3 microSD, dass noch nie eingeschaltet war, habe ich, allerdings beinhaltet es ja bekanntlich den vom Benutzer nicht änderbaren EIBPort String. Ich kann deine Gründe für Anonymität nicht nachvollziehen, dennoch respektiere ich diese Entscheidung.
              Da mir jeglicher Vertrauensbasis zu Dir fehlt, möchte ich Dich hiermit leider nicht "weiterhelfen". Sorry!
              Winston Churchill hat mal gesagt: "Ein kluger Mann macht nicht alle Fehler selbst. Er gibt auch anderen eine Chance.“

              Kommentar

                #8
                Im Update Tool gibt es eine Interessante Datei "extract-bootstrap", die die pgp Entschlüsselung für die Datei bootstrap.tar.gz.gpg durchführt.
                Das Passwort für die gpg Entschlüsselung wird aus dem MD5 Hash einer Datei erzeugt.

                Code:
                pw_gen_file=/etc/modprobe.d/#blacklist.conf#
[ -s $pw_gen_file ] || pw_gen_file=/etc/modprobe.d/blacklist.conf
if [ -s $pw_gen_file ]; then
md5sum $pw_gen_file
fi
                die Ausgabe ist dann z.B. je nachdem ob es die Datei /etc/modprobe.d/#blacklist.conf# oder /etc/modprobe.d/blacklist.conf (Ohne Rautezeichen) gibt:
                d8e8fca2dc0f896fd7cb4cb0031ba249 /etc/modprobe.d/#blacklist.conf#
                oder
                bc6754fa320733c6d239a4bb0148ffd7 /etc/modprobe.d/blacklist.conf

                Mit diesem Passwort wird dann das Tarball bootstrap.tar.gz extrahiert, welches normal entpackt werden kann.
                Code:
                gpg $gpg_opts -o $bootstrap_archive --passphrase "$pw" \
--decrypt ${bootstrap_archive}.gpg >/dev/null 2>&1
                Es wäre schön, wenn jemand für mich auf seinem eibPort diese Befehlskette ausführen könnte, um an den MD5 Hash zu kommen.


                Kommentar

                  #9
                  BAB-Tec hat aktuell eine neue Firmware 3.8.3 herausgebracht.
                  Der Support hatte es mir im Vorfeld schon mitgeteilt, aber im Changelog ist der CVE-2020-24573 nicht vermerkt.
                  Der lighttpd Webserver sollte ein Update bekommen haben, womit eine DoS Schwachstelle behoben wird.
                  Es sind zwar "nur" mindestens 1600 offen im Internet erreichbare eibPorts zu finden, das ist aber trotzdem schon eine Hausnummer.

                  Ein Versuch in diesem Forum ist nun herauszufinden ob die DoS Schwachstelle wirklich behoben wurde.
                  Falls jemand das neue Update eingespielt hat, wäre es gut zu wissen, welche lighttpd nun zum Einsatz kommt.
                  Dazu entweder per SSH einloggen und dann eingeben
                  Code:
                  lighttpd -h
                  Es darf nicht mehr diese Versionsausgabe sein: "lighttpd/1.4.31"

                  Oder einfach im Browser die <F12> Taste drücken und zum Tab Netzwerkanalyse/Network gehen und dann die URL des eibPort aufrufen.
                  In der Kopfzeilen Antwort darf es nicht mehr dieser Header Anteil sein
                  Code:
                  Server:  lighttpd/1.4.31
                  Es muss in jedem Fall eine neuere Version sein, ansonsten ist die DoS Schwachstelle noch vorhanden.


                  Bei der Gelegenheit würden mich die installierten Versionen von Java und BusyBox interessieren.
                  In einer SSH Session also bitte folgende Befehlt eingeben, wobei es sein kann dass das Binary nicht automatisch im PATH bekannt ist.

                  Code:
                  java -version
busybox
                  Mein Wunsch die Firmware entpacken zu können besteht weiterhin.
                  Zuletzt geändert von psytester; 11.11.2020, 22:23.

                  Kommentar

                    #10
                    Die Anfrage hat sich erledigt, das Ergebnis wird publiziert.

                    Kommentar

                    Vorherige template Weiter
                    Lädt...
                    X

                    Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                    Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                    Ich stimme zu