Krstic veröffentlichte seine Befunde in einem Advisory in dieser Woche. Kern der gemeldeten Schwachstelle ist, dass der IQ4 in der Werkseinstellung seine webbasierte Mensch-Maschine-Schnittstelle ohne Authentifizierung erreichbar macht. Bleibt bei der Einrichtung ein Benutzermodul deaktiviert, kann ein entfernter Angreifer mit Zugang zur Management-Schnittstelle ein Administratorkonto einrichten, bevor die eigentlichen Betreiber ihre Zugänge anlegen.
“Damit lassen sich legitime Bediener faktisch von der lokalen und webbasierten Konfiguration und Verwaltung aussperren”, erklärte Krstic in seinem Advisory.
Honeywell weist die Darstellung zurück. Gegenüber SecurityWeek erklärte das Unternehmen, IQ4-Geräte würden unkonfiguriert ausgeliefert und von geschultem Personal eingerichtet, bevor sie in Betrieb gingen. Das vom Forscher beschriebene Szenario könne nur während einer kurzen Installationsphase eintreten, bevor das System aktiv sei, oder wenn Sicherheitseinstellungen entgegen klarer Warnungen bewusst deaktiviert würden.
In dieser Phase könne das Gerät keine Anlagentechnik überwachen oder steuern, sodass kein Einfluss auf den Betrieb bestehe, so Honeywell weiter. Installationsprobleme ließen sich durch einen üblichen Reset beheben; bei Einrichtung nach den normalen Verfahren werde die Sicherheit im Sinne eines “secure-by-default”-Konzepts automatisch aktiviert.
Krstic widerspricht dieser Risikobewertung. Nach seinen Angaben identifizierte er knapp 7.500 über das Internet erreichbare Instanzen des Produkts, von denen schätzungsweise 20 Prozent ohne Authentifizierung zugänglich seien.
Auch Honeywells Aussage, ein nicht vollständig eingerichtetes Gerät könne keine Technik überwachen oder steuern, bestreitet der Forscher. “Ich habe Installationen gesehen, bei denen kein Benutzerkonto angelegt war und ich Änderungen an Komponenten wie Beleuchtung und Temperatur schreiben, den Heizkessel oder die Kältemaschine abschalten und weitere Eingriffe an der Steuerungstechnik vornehmen konnte”, sagte Krstic gegenüber SecurityWeek.
SecurityWeek bestätigt, dass zahlreiche IQ4-Schnittstellen im Internet erreichbar sind, hat die übrigen Angaben jedoch nicht überprüft.
Eine CVE-Nummer für die Schwachstelle steht laut Krstic noch aus. Der Forscher wandte sich zudem an das CERT Coordination Center (CERT/CC) der Carnegie Mellon University, das häufig bei der Offenlegung von Schwachstellen vermittelt. Gebäudeautomationssysteme sind nach Angaben von Sicherheitsfirmen ein häufiges Ziel von Angreifern.
