DearBytes waarschuwt voor kwetsbaarheden in domoticasystemen

Den Haag, 27 september 2017 – Beveiligingsbedrijf DearBytes waarschuwt voor diverse kwetsbaarheden in domoticasystemen van Fibaro. De kwetsbaarheden stellen aanvallers in staat om ‘smart homes’ volledig op afstand over te nemen als de webinterface toegankelijk is.

DearBytes-onderzoeker Wesley Neelen trof de kwetsbaarheden onder andere aan in het Home Center 2 en Home Center Lite van Fibaro. Deze kastjes vormen binnen een domotica-omgeving het ‘brein’ dat bijvoorbeeld de mediasystemen, camera’s en rolluiken kan aansturen, afhankelijk van wat er op het systeem is aangesloten. Via de kwetsbaarheden kreeg Neelen volledige ‘root access’, de hoogst haalbare rechten op het systeem.

Met behulp van de zoekmachine Shodan vond Neelen ongeveer 185 kwetsbare Home Centers. De beveiligingsonderzoeker van DearBytes meldde de kwetsbaarheden in februari bij Fibaro. Na rechtstreeks contact met een managementmedewerker van Fibaro werd de melding direct opgepakt. Eerder deze maand werd een patch vrijgegeven die de kwetsbaarheden verhelpt.

DearBytes adviseert gebruikers van de getroffen domoticasystemen om zo snel mogelijk de nieuwe Fibaro-update 4.140 te installeren. “Alle gebruikers van domoticasystemen moeten zich bewust zijn van de risico’s als apparaten direct met het internet verbonden zijn”, aldus Neelen in een uitgebreide blogpost over de aangetroffen kwetsbaarheid. “Als remote toegang toch noodzakelijk is, maak dan gebruik van een VPN-server. En segmenteer het thuisnetwerk zodat je de domotica-apparaten zoveel mogelijk afschermt van de rest van het netwerk.”