Sicherheitsverbesserungen am Loxone Cloud DNS
Lesedauer
Datum
4 Minuten
4. Oktober 2020
Ein Loxone System funktioniert ganz ohne Internetanbindung. Diese ist jedoch praktisch, um das Gebäude auch aus der Ferne zu steuern und zusätzliche Dienste zu nutzen. Um diesem Wunsch nach weiterer Vernetzung bestmöglich gerecht zu werden, arbeiten wir mit internen und externen Spezialisten ständig daran, das sicherste System auf dem Markt zu bieten.
Mit Loxone schützen wir nicht nur Haus und Gebäude, sondern auch die Privatsphäre und Daten unserer Kunden. Im Gegensatz zu vielen IOT-Lösungen sendet ein Loxone Miniserver keine Daten über das Nutzerverhalten an Online-Server. Grundsätzlich kommt das Loxone System vollkommen ohne Internetanbindung aus. Da viele Kunden aber ihr Gebäude aus der Ferne steuern oder Dienste wie den Wetterservice nutzen möchten, ist eine Internetverbindung praktisch. Die benötigten Sicherheitsmaßnahmen werden regelmäßig von internen und externen Sicherheitsspezialisten geprüft.
Vor wenigen Wochen wurden wir seitens der FH Hagenberg, mit der wir bereits in mehreren Projekten kooperiert haben, auf eine Schwachstelle am Loxone Cloud DNS aufmerksam gemacht. Im Security Advisory wird die theoretische Möglichkeit beim Loxone Cloud DNS durch gefälschte Pakete eine falsche IP-Adresse zu hinterlegen erörtert. Dies würde einen Angreifer ermöglichen in einem temporären Zeitfenster die IP-Adresse einer Website ähnlich dem Loxone Webinterface zu hinterlegen und so gezielt Login-Daten einer Loxone Installation abzugreifen.
Voraussetzung zur Ausnutzung der Schwachstelle ist, dass die MAC-Adresse des Loxone Miniserver dem Angreifer bekannt ist. Auch muss der Loxone Miniserver bei Loxone registriert sein, damit der Cloud DNS aktiv ist. Sollte der Angreifer vor Ort Schaden anrichten wollen, so muss zusätzlich der Standort der Kundeninstallation bekannt sein. Weiters muss sich der Nutzer im Zeitfenster des Angriffs – der Miniserver aktualisiert die IP-Adresse minütlich – einen Login-Versuch unternehmen.
Es sind keine Fälle bekannt bei denen diese Schwachstelle durch einen Angreifer ausgenutzt wurde.
Die Sicherheit unserer Kundeninstallationen ist uns ein zentrales Anliegen. Deswegen haben wir sofort Maßnahmen ergriffen, um dieses Angriffsszenario dauerhaft zu unterbinden.
Loxone Cloud DNS: Verbesserung der Erkennung von gefälschten Paketen
Mittels einer HTTP Abfrage kann die IP Adresse sowie der Port, welche für den Miniserver am heimischen Router konfiguriert sind, ausgelesen werden (wird zum Beispiel von der App für den externen Zugriff verwendet). In der Antwort auf diese HTTP Abfrage wurde das Feld “Last Update Timestamp” entfernt, um den Update-Zyklus eines Miniservers nicht mehr preiszugeben. Diese Maßnahme wurde am 6. Juli 2020 umgesetzt.
Eine intelligente Prüfung erkennt mögliche Angreifer, sobald sich die IP Adresse innerhalb einer Minute mehrfach ändert. Somit kann ein Angriff nach einmaligem Auftreten erkannt werden und die IP Adresse des Angreifers wird für 24 Stunden auf eine Blacklist gesetzt. Diese Maßnahme wurde am 16. Juli 2020 umgesetzt.
Von einer IP Adresse können allgemein maximal 50 Updates pro Minute an den Loxone Cloud DNS gesendet werden. Wird dieses Limit überschritten, wird die IP Adresse für 7 Stunden auf eine Blacklist gesetzt und sämtliche Updates werden in diesem Zeitraum ignoriert. Diese Maßnahme wurde am 16. Juli 2020 umgesetzt.
Von einer IP können für einen Miniserver maximal 5 Updates pro Minute an den Loxone Cloud DNS gesendet werden. Somit wird Update-Spamming für einen Miniserver unterbunden. Auch hier wird bei Überschreitung die IP Adresse des Angreifers für 7 Stunden auf eine Blacklist gesetzt. Diese Maßnahme wurde am 16. Juli 2020 umgesetzt.
Für alle Miniserver ab der Version 11.1 (03.09.2020), welche den Loxone Cloud DNS verwenden, wurde eine Signatur der Update Pakete eingeführt. Mit Hilfe eines Key Pairs kann sichergestellt werden, dass das jeweilige Paket auch von dem entsprechenden Miniserver stammt. Wird ein solches Update erstmals erfolgreich durchgeführt, werden für den betroffenen Miniserver keine nicht signierten Update Pakete mehr zugelassen. Dieses Update wurde am 3. September 2020 an Kunden und Loxone Partner ausgerollt.
Die getroffenen Maßnahmen am Loxone Cloud DNS sorgen für die Absicherung aller Loxone Installationen die den Dienst nutzen. Wie üblich empfehlen wir alle Kundeninstallationen am aktuellen Stand zu halten. Das Update 11.1 unterbindet das Angriffsszenario komplett und sorgt so für maximale Sicherheit.
Hinweis: Das beschriebene Angriffsszenario bezieht sich auf den Loxone DNS Service. Der Loxone Remote Connect Dienst ist vom beschriebenen Szenario nicht betroffen.