Sicherheitslücken in Crestron Medientechnik Produkten

Die Aufregung in der Medientechnik Branche sollte eigentlich noch viel größer sein. Über das Wochenende liefen die Tickermeldungen in den Spezialisten-Kanälen: Sicherheitslücken in Crestron Medientechnik Produkten! Was war geschehen? Und müssen wir uns alle fürchten?

Worum geht’s?

Auf der jährlichen DEFCON Konferenz präsentieren die Besten der Besten die Ergebnisse Ihrer Forschungen in Sachen IT-Sicherheit. Ziel ist es, Schwachstellen in Protokollen und Geräten zu finden, möglichst öffentlichkeitswirksam darauf aufmerksam zu machen und damit einen massiven Druck auf Zuständige auszuüben, Bugs zu fixen bzw. gegen sichere Varianten zu tauschen. Und natürlich soll das Bewusstsein in der Branche geweckt bzw. verstärkt werden.

Dabei hält man sich üblicherweise an einen strengen Ehrenkodex: Die Erkenntnisse werden teilweise Monate vor der Veröffentlichung an die Hersteller übermittelt. Diese haben also, ihr Interesse bzw. Kooperationsbereitschaft natürlich vorausgesetzt, normalerweise ausreichend Zeit zu reagieren. In den allermeisten Fällen gibt es also bei Veröffentlichung schon Fixes.

Nun hat sich Ricky Lawshae von der Firma Trend Micro für heuer mehrere Produkte von CRESTRON zur Brust genommen. Im Wesentlichen die MC3, eine unter Windows CE laufende Steuerzentrale der aktuellen 3-Series sowie Touchpanels der TSW-Serie, welche unter Android/Linux laufen. Natürlich hat Crestron noch viele andere Produkte aber sehr viele basieren auf der gleichen Plattform, die Ergebnisse sind also anwendbar in Sachen Sicherheitslücken in Crestron Medientechnik Produkten

Wer nun glaubt, dass die geschilderten Probleme eine Kleinigkeit wären, dem sei gesagt, dass sogar das amerikanische Industrial Control Systems Cyber Emergency Response Team der US Homeland Security https://ics-cert.us-cert.gov/ Alarm geschlagen hat!!

Konkrete Forschungsergebnisse

Die wichtigste Nachricht gleich zu Beginn:
Die allermeisten gefundenen Lücken lassen sich nur ausnützen, wenn der Integrator darauf „vergessen“ hat, eine ordentliche Arbeit in Sachen Zugangsbeschränkung, also User- und Passwort-Verwaltung zu implementieren.
Trotzdem gab es allerdings auch eine Fülle anderer Sicherheitslücken, so z.B. solche, die einem normalen User Adminrechte einräumen und so die unterschiedlichen Zugriffsebenen aushebelten.

Das Kernproblem: Crestron Produkte bieten zwar zahlreiche zeitgemäße und sehr professionelle Security-Features, LEIDER sind diese jedoch ab Werk allesamt deaktiviert! Ich darf Mr. Lawshae zitieren:

Potential for good security practice is there but disabled by default

Daher verzichte ich an dieser Stelle, auf die diversen technischen Details einzugehen, wo nun konkret die diversen Schwachstellen liegen. Wen die Details interessieren, kann sich gerne die Präsentation unter diesem Link genauer ansehen:

https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/DEFCON-26-Lawshae-Who-Controls-the-Controllers-Hacking-Crestron.pdf

Die allermeisten davon sind Stand heute schon gefixt. Dies ist ja unzweifelhaft einer der Vorteile von Software.  Ein kurzes Firmwareupdate genügt, aber es muss halt auch flächendeckend ausgerollt werden!

An dieser Stelle sollte auch erwähnt werden, dass der Hersteller laut Aussage schnell und professionell reagiert hat, auch das ist keinesfalls eine Selbstverständlichkeit.

In Kurzform nachfolgend eine kleine Auflistung der größten Probleme:
  • Von den wirklich vielen Security Features ist KEINES ab Werk per default aktiviert! Das ist sehr schlecht, denn zahllose Beispiele beweisen, dass damit das Thema Security aus dem Fokus gerät.
  • Statt einem vergleichsweise dummen Embedded Betriebssystem kommen ausgewachsene und weit verbreitete Betriebssysteme wie z.B. Android/Linux zum Einsatz. Diese haben ab Werk ungleich mehr Funktionen. Hersteller tun gut daran, die Angriffsflächen möglichst zu minimieren, indem alles, was nicht unbedingt enthalten sein muss, zu entfernen. Dies ist ein ordentlicher Aufwand und Abkürzungen können böse Auswirkungen haben.
  • Für den Hersteller im Supportfall durchaus angenehm, aus Sicht der Sicherheit jedoch höchst bedenklich sind Hintertüren in den Geräten wie z.B. SuperUser. Von deren Existenz sollte niemand außerhalb des Herstellers wissen, doch wie jedes Geheimnis bleibt auch dieses nicht lange eines.  Wenn dann noch der Password-Schutz für diesen „God-Mode“ leicht zu knacken ist, präsentiert sich das Gerät auf dem Silbertablett.
  • Eingebaute Mikrofone und Kameras samt Streaming-Server im Touchpanel eignen sich natürlich bestens für die heimliche Aufnahme eines Meetings oder die Live-Übertragung ins Netz! Diese Features nicht per Hardware Jumper aktivieren zu müssen, sondern einfach von remote per Software ist zwar bequem aber höchst gefährlich! Ich muss an dieser Stelle nicht extra erwähnen, welche Auswirkungen das unbemerkte Mithören und Mitsehen in Konzern-Sitzungszimmern oder in Operating Centern beim Energieversorger haben kann!
Konkrete Arbeitsempfehlung

Was also machen? Meine Antwort darauf klingt recht einfach:

Man muss sich um das Thema Sicherheit in der Medientechnik AKTIV kümmern!

Und da sind wir schon wieder beim wunderschönen Wörtchen „man“. Wer ist „man“?

MAN ist mit Sicherheit nicht alleine der AV Integrator. Nicht nur weil viele davon aktuell noch nicht über genug IT KnowHow verfügen, sondern auch weil leider viele täglich beweisen, dass das nötige Bewusstsein noch fehlt! Nur bei einer geringen Anzahl an Medientechnik-Systemen werden z.B. Password-Sicherungen eingebaut oder Standard Passworte geändert auch wenn der Kunde dies nicht ausdrücklich fordert.

MAN ist leider auch nicht alleine die IT des Kunden. Viel zu oft wird der Medientechnik (wenn überhaupt) nur ein eigenes VLAN zugeteilt, worin dann die Medientechnik unbeschränkt „herumfuhrwerken“ kann. Die ganz konkrete Gefahr, dass man z.B. von einem Konferenzraum auf diese Art ganz einfach in einen anderen kommt, (oder auch von einem Hotelzimmer in ein anderes!) wird nicht erkannt.

MAN ist aber auch nicht der Hersteller, denn der installiert üblicherweise nicht vor Ort. Wie das aktuelle Beispiel zeigt, nützt das pure Vorhandensein von Sicherheits-Features nicht viel, wenn diese standardmäßig deaktiviert sind. Meiner Meinung nach würde es aber einen massiven Unterschied machen, wenn jedes Medientechnik-Gerät bei der Inbetriebnahme ein Passwort zwingend einfordern würde oder das Standard Passwort geändert werden müsste!

In den Worten von Ricky Lawshae:

If security isn’t enabled by default, it is probably not going to be enabled

Next steps

Es bedarf also einer PROAKTIVEN Herangehensweise! Wer glaubt, die Sachen aussitzen zu können, wird böse Überraschungen erleben. Die angesprochenen Probleme sind nicht auf den einen Hersteller Crestron beschränkt. Wie überall wird auch in der AV-Branche mit ähnlichem Wasser gekocht, die Erkenntnisse können und MÜSSEN daher auch für andere Produkte und Systeme angewendet werden.

Nicht ganz ohne Eigennutz empfehle ich daher einen externen Consultant beizuziehen, welcher die Aufgaben gemeinsam mit dem Kunden, dessen IT-Abteilung und dem Integrator nachvollziehbar angeht und professionell dokumentiert.

Gerne stehe ich für diese Aufgabe zur Verfügung und helfe in diesen konkreten Bereichen:

  1. Erfassung und Überprüfung des IST-Zustandes. Was ist verbaut? Wie ist die Netzwerk-Struktur? Welche Möglichkeiten bieten die vorhandenen Geräte? Wie ist deren Software-Stand? (Ja, es gibt auch Security-Updates für Medientechnik-Produkte!)
  2. Design und Konzeptionierung eines Sicherheitskonzeptes für die Medientechnik. Dies betrifft sowohl die Endgeräte der Medientechnik als auch das Netzwerk. In anderen Worten: Erabeitung eines SOLL-Zustandes
  3. Projekt-Support im Rollout mit Training des Integrators, der Betriebsmannschaft und (ganz wichtig!) des IT-Security Teams des Nutzers. Dieses kann und darf sich nicht mehr vor der Medientechnik drücken, weil diese mittlerweile integraler Bestandteil des Workflows ist!
  4. Sicherstellung der Einhaltung der definierten Parameter. Dazu zählt auch die konsequente Nutzung der von den Herstellern zur Verfügung gestellten Sicherheits-Features.
Fazit und Ausblick

In den Untiefen der Medien- und Gebäudetechnik schlummert noch eine Vielzahl von potentiell hoch gefährlichen Sicherheitsmängeln. Die zunehmend leistungsfähigeren Geräte und die Hinwendung zu Standard-Betriebssystemen wie Android oder Linux machen aus jedem Medientechnik-Gerät einen vollwertigen Computer. Der aktuelle Fall von Sicherheitslücken in Crestron Medientechnik Produkten ist irgendwie symptomatisch für die gesamte AV Branche. Manch einer wird sich auch an einen verblüffend ähnlichen Fall aus dem Hause AMX im Jahr 2016 erinnern. Auch hier ging es um Backdoors für einen Hersteller-God-Mode, banale Passwörter und ähnliches. Details dazu finden sich hier: https://www.sec-consult.com/en/blog/2016/01/deliberately-hidden-backdoor-account-in/

Es sollte uns als Branche zu denken geben, dass sich Security Spezialisten verstärkt auch in „unserer“ Branche herumtreiben und bis auf weiteres viel zu einfach fündig werden.

Es wäre aber falsch, die Schuld ausschließlich bei den Herstellern, bei den Integratoren oder auch bei den Nutzern zu sehen. Das Problem gehört wie immer irgendwie allen und nur die gemeinsame Anstrengung aller Beteiligten wird eine Lösung bringen. Im gegenständlichen Fall hat ein Hersteller, nachdem er öffentlich ziemlich vorgeführt wurde, schnell reagiert und arbeitet nun konsequent an seinem Teil. Die übrigen Glieder der Kette müssen nun auch das ihre dazu beitragen. Frei nach dem Motto:

Jetzt haben wir einen Sicherheitsgurt in jedem Auto, aber was nützt das schon, wenn ihn niemand anlegt!

Wenn ich Sie auf dem Weg begleiten soll, freue ich mich auf Ihre Kontaktaufnahme!

Quellen und weiterführende Informationen:

https://www.heise.de/newsticker/meldung/Gebaeudeautomatisierung-wird-zur-Wanze-Bugs-in-Crestron-Systemen-4133763.html

https://www.wired.com/story/crestron-touchscreens-could-spy-on-hotel-rooms-and-meetings/

https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/Ricky%20Lawshae/DEFCON-26-Lawshae-Who-Controls-the-Controllers-Hacking-Crestron.pdf

https://blog.rapid7.com/2018/06/12/r7-2018-15-cve-2018-5553-crestron-dge-100-console-command-injection-fixed/

https://ics-cert.us-cert.gov/advisories/ICSA-18-221-01