Schwere Authentifizierungs-Umgehungslücke in Honeywell-Überwachungssystemen entdeckt

Kritische Authentifizierungs-Umgehungslücke in Honeywell-Überwachungssystemen entdeckt

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine Warnmeldung zu einer kritischen Sicherheitslücke in mehreren Honeywell-Videoüberwachungssystemen (CCTV) veröffentlicht. Die Schwachstelle mit der Bezeichnung CVE-2023-43505 ermöglicht es Angreifern, Authentifizierungsmechanismen zu umgehen und dadurch potenziell unautorisierten Zugriff auf Videostreams zu erlangen oder Konten zu kapern. Die Sicherheitswarnung wurde am 12. Oktober 2023 nach einer koordinierten Offenlegung durch Sicherheitsforscher veröffentlicht.

Technische Details zu CVE-2023-43505

Die Schwachstelle betrifft mehrere Honeywell-CCTV-Modelle, darunter:

• Honeywell MAXPRO VMS (Video Management System)
• Honeywell MAXPRO NVR (Network Video Recorder)
• Honeywell HDZ Series Kameras

CVE-2023-43505 wird als Authentifizierungs-Umgehungslücke klassifiziert und weist einen CVSS-Score von 9,8 (kritisch) auf. Für die Ausnutzung ist ein Netzwerkzugriff auf das Zielgerät erforderlich, wodurch Angreifer folgende Aktionen durchführen können:

• Unautorisierten Zugriff auf Live- oder aufgezeichnete Videostreams erlangen
• Benutzerkonten mit erweiterten Berechtigungen kapern
• Potenziell Kameraeinstellungen manipulieren oder die Sicherheitsüberwachung deaktivieren

Honeywell bestätigte, dass die Schwachstelle auf eine fehlerhafte Eingabevalidierung in der webbasierten Verwaltungsoberfläche zurückzuführen ist. Dadurch können Angreifer manipulierte Anfragen erstellen, die Authentifizierungsprüfungen umgehen.

Auswirkungen und Exploitationsrisiken

Die Sicherheitslücke stellt ein erhebliches Risiko für Organisationen dar, die Honeywell-CCTV-Systeme für die physische Sicherheit nutzen – insbesondere in kritischen Infrastrukturbereichen wie:

• Energie- und Versorgungsunternehmen
• Transportwesen
• Fertigungsindustrie
• Regierungseinrichtungen

Eine erfolgreiche Ausnutzung könnte zu folgenden Szenarien führen:

• Störungen der Überwachung (z. B. Deaktivierung von Kameras während eines Einbruchs)
• Unautorisierte Überwachung sensibler Bereiche
• Laterale Bewegung in verbundene OT-/IT-Netzwerke

Zum Zeitpunkt der Veröffentlichung der Warnmeldung gab es keine Berichte über aktive Ausnutzung in freier Wildbahn. Sicherheitsforscher warnen jedoch davor, dass aufgrund der Schwere der Lücke bald Proof-of-Concept-Exploits (PoC) auftauchen könnten.

Empfohlene Maßnahmen und Abhilfe

Honeywell hat Sicherheitspatches zur Behebung von CVE-2023-43505 veröffentlicht. Organisationen werden dringend aufgefordert:

1. Sofortige Updates auf den betroffenen Systemen durchzuführen:
   • MAXPRO VMS: Update auf Version 5.7.0 oder neuer
   • MAXPRO NVR: Update auf Version 5.7.0 oder neuer
   • HDZ Series Kameras: Firmware auf Version 4.10.0 oder neuer aktualisieren
2. CCTV-Netzwerke isolieren, um die Angriffsfläche zu minimieren.
3. Auf verdächtige Aktivitäten überwachen, z. B. unautorisierte Anmeldeversuche oder Konfigurationsänderungen.
4. Zugriff auf CCTV-Verwaltungsoberflächen einschränken, z. B. durch Firewalls oder VPNs.

CISA hat CVE-2023-43505 in den Katalog bekannter ausgenutzter Schwachstellen aufgenommen und betont die Dringlichkeit der Behebung. Bundesbehörden sind gemäß Binding Operational Directive (BOD) 22-01 verpflichtet, die betroffenen Systeme bis zum 2. November 2023 zu patchen.

Weitere Informationen finden Sie in Honeywells offizieller Sicherheitswarnung oder in CISAs Alert (ICSA-23-285-01).