|
26.01.2026 17:40 Uhr |
Der Schweizer Hersteller für Sicherheits- und Schließsysteme dormakaba hat mehrere, teils kritische Sicherheitslücken in seinen Produkten behoben. Den Fixes war ein jahrelanger Melde- und Verbesserungsprozess vorangegangen. Angreifer mit Netzwerkzugriff auf die dormakaba-Verwaltungsserver in Unternehmen konnten unter anderem hartkodierte Zugangsdaten und einfach zugängliche Lötstellen missbrauchen.
Manches Mal ist eine „Responsible Disclosure“ an einen Hersteller schnell und unproblematisch: Problemmeldung und Behebung durch den Hersteller liegen im Idealfall nur Stunden oder Tage auseinander. Doch bisweilen dauert es länger, so bei dormakaba. Bereits im April 2024, also vor fast zwei Jahren, nahm der Sicherheitsdienstleister SEC Consult mit dem Unternehmen Kontakt auf und meldete zwanzig, teils kritische Sicherheitslücken. Nachdem der Schweizer Konzern zwei Wochen später die internen Zuständigkeiten geklärt hatte, begann ein anderthalbjähriger Meeting- und Konferenzmarathon, an dessen Ende nun die Veröffentlichung aller Lücken steht.
Die Sicherheitsprobleme beziehen sich hauptsächlich auf die Produkte Kaba exos 3000 und den dormakaba Zutrittsmanager („Access Manager“), professionelle Lösungen zur Zutrittssicherung für Unternehmen. Diese bestehen nicht nur aus Soft-, sondern auch aus Hardware: So ist der Zutrittsmanager ein schwarzes Kästchen, das etwa im Schaltschrank installiert wird. Kaba exos 3000 kommt überall dort zum Einsatz, wo sich Schließberechtigungen häufig ändern, etwa durch regelmäßige Besucher.
Viele Sicherheitslücken, sagte ein Vertreter der Melder von SEC Consult heise security, seien bereits vor Veröffentlichung des Sammeleintrags im Unternehmensblog behoben gewesen. Ein dormakaba-Pressesprecher schränkt weiter ein: Um die Schwachstellen ausnutzen zu können, benötige ein Angreifer vorherigen Zugriff auf das Netzwerk des Kunden. „Insgesamt sind uns keine Fälle bekannt, bei denen die identifizierten Schwachstellen ausgenutzt wurden“, sagte der Hersteller.
Dennoch liest sich die Liste der Sicherheitslücken beunruhigend: Von hartkodierten, schwachen Passwörtern ist da die Rede, von ungesicherten APIs und RPC-Diensten (Application Programming Interface bzw. Remote Procedure Call) und einer lokalen Privilegienausweitung. Einige der Fehler ermöglichten „Schlösserknacken, ohne die Hände zu benutzen“ – diesen Titel wählten die Finder für ihren langen Blogartikel mit Details zu allen Lücken.
Folgende Lücken mit hohem und kritischem Schweregrad in Kaba exos 9300 sind behoben:
Im „Access Manager 92xx k5/k7“ gab es ebenfalls einige Funde mit hohem oder kritischem Schweregrad. Teilweise sind sie nicht oder nur durch manuelle Intervention behebbar – Details verrät der Blogartikel von SEC Consult.
Nach Behebung aller Lücken bleibt für die Sicherheitsexperten von SEC Consult eine Schwachstellenmeldung der besonderen Art. „Derartiger Research ist selten, weil diese Systeme für unabhängige Tester fast nie realistisch zugänglich sind, und genau deshalb war es besonders spannend, sie ganzheitlich überprüfen zu können, von Web-Komponenten über Infrastruktur bis hin zu Reverse Engineering und das Zerlegen von Hardware“, beschrieb Sicherheitsforscher Werner Schober.
Und ein dormakaba-Sprecher erläuterte, warum man sich fast zwei Jahre Zeit für Bugfixes ließ: „Wir haben über die Zeit schrittweise via Standard-Releases die Schwachstellen geschlossen; dazu gehören auch Feldtests mit ausgewählten Kunden.“
(cku)