Alert!

Johnson Controls: Lücken boten Remote-Zugriffsmöglichkeiten auf Videoüberwachung

Updates für die Videoüberwachungslösung exacqVision von Johnson Controls/Exacq Technologies schließen zwei Sicherheitslücken. Eine gilt als kritisch.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen

(Bild: TimmyTimTim/Shutterstock.com)

Von
  • Olivia von Westernhagen

Zwei Software-Komponenten der Videoüberwachungs-Lösung "exacqVision" waren unter bestimmten Voraussetzungen aus der Ferne und ohne vorherige Authentifizierung angreifbar. Mögliche Konsequenzen eines erfolgreichen Angriffs wären der Diebstahl von Zugangsdaten oder temporär lahmgelegte Überwachungssysteme gewesen. Wichtige Updates beseitigen die Einfallstore: zwei Sicherheitslücken, von denen eine als kritisch eingestuft wurde.

exacqVision ist ein Produkt des Unternehmens Johnson Controls beziehungsweise der ihm zugehörigen Exacq Technologies, bestehend aus Videomanagementsoftware (VMS), Netzwerk-Videorekorder (NVR) und Speicher-Server. In einer deutschsprachigen Beschreibung auf der Website von Johnson Controls wird exacqVision vor allem für "sicherheitsrelevante Anwendungen im Bildungs- und Gesundheitswesen, bei Unternehmen und im Einzelhandel" empfohlen.

Neben Johnson Controls selbst warnt auch die US-Behörde CISA in zwei so genannten "ICS Advisories" vor den Lücken und hebt den Bereich des "Critical Manufacturing", also kritischer Infrastrukturen im Bereich der Fertigung, als Einsatzbereich von exacqVision hervor.

Folgende exacqVision-Komponenten sind laut Hersteller und CISA verwundbar:

  • exacqVision Web Service in Versionen bis einschließlich 21.06.11.0 und
  • exacqVision Server in der 32‐Bit-Fassung bis einschließlich 21.06.11.0.

Im Web Service steckt die kritische Sicherheitslücke CVE‐2021‐27664 (CVSS-Score 9.8). Konfigurationsabhängig ("bei aktiviertem unauthentifiziertem Zugriff") könnte dieser unter anderem Zugangsdaten für "andere, mit exacqVision verbundene Systeme" leaken, die in der exacqVision Server-Komponente gespeichert wurden. CVE‐2021‐27665 in exacqVision Server (CVSS 7.5 / High) wiederum könnte mittels Skript für Denial-of-Service-Angriffe missbraucht werden.

Weitere Details zu den Lücken sowie Informationen zu Updates und weiteren Schutzmaßnahmen sind den Advisories von Johnson Controls und der CISA zu entnehmen:

(ovw)