Categories: M2MNetzwerke

IoT: Miele-Geschirrspüler lässt sich über Web angreifen

Die Miele Appliance PG 8528 leidet unter einem Sicherheitsleck der Kategorie Web Server Directory Traversal. Bei dem Gerät handelt es sich um einen Reinigungs- und Desinfektionsautomaten, der vor allem für den Einsatz in Krankenhäusern und Laboren konzipiert ist. Das Gerät verfügt über eine Schnittstelle zum Internet und über einen Webserver.

Allerdings können Angreifer über diesen Webserver auch auf Dateien zugreifen, die nicht für den Webserver freigegeben sind. Darüber ist es möglich, Inhalte auszuspähen oder aber auch die Dateien zu verändern und diese den Webserver ausführen zu lassen.

Update 29. März 2017: Inzwischen hat Miele zu dem Vorfall Stellung genommen. Die ausführliche Erläuterung und eine Einordnung finden Sie in diesem Beitrag bei silicon.de.

Der Sicherheitsfachmann Jens Regel hat den Fehler jetzt über Full Disclosure veröffentlicht. Laut dem Advisory [CVE-2017-7240] hat Regel das Leck Mitte November entdeckt und daraufhin nach einem Sicherheitsbeauftragen bei Miele gefragt. Anfang Dezember habe er dann die Details seiner Entdeckung an einen Produktbeauftragten geschickt. Nachdem er jeweils im Januar und im Februar nochmal auch auf Nachfrage keine weiteren Informationen bekommen hatte, machte er das Leck am 23. März öffentlich.

Auf eine Anfrage von silicon.de bei Miele zu dem Fehler und die Frage, weshalb nicht auf die Meldung reagiert wurde, liegt derzeit noch keine Antwort vor. Wie aus dem Produktblatt zum PG 8529 hervorgeht, ist das Gerät “fernservicefähig”.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Ein Fix für dieses Leck ist bislang nicht bekannt. Regel führt aus, dass der eingebettete PST10 Webserver am Port 80 lauscht und darüber über eine Directory Traversal Attack angegriffen werden kann. “Daher kann ein unauthentifizierter Angreifer über dieses Leck auf sensible Informationen zugreifen und so Informationen für weitere Angriffe abgreifen.” Regel vergibt für dieses Leck den CVSS-Wert 5.0, was einer mittleren Gefährdung entspricht.

Redaktion

View Comments

  • Leider ist diese Ignoranz Praxis vieler vermeintlicher großer Unternehmen. An deren Stelle wäre ich froh, wenn sich innovative externe Fachleute konstruktiv mit ihren Produkten auseinandersetzen. Hochmut kommt bekanntlich vor dem Fall.

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

22 Stunden ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago