En tysk bygning kørte på sine automatsikringer

I oktober 2021 mistede et mellemstort anlæg tilhørende et tysk ingeniørfirma sine lyskontakter. Ikke lyset, kontakterne. Medarbejderne gik hen til eltavlen og slog sikringerne til og fra i hånden, fordi bygningens egne styringer ikke længere svarede. Styringen af persiennerne forsvandt på samme måde. Flere hundrede KNX-komponenter sad i vægge og lofter uden at gøre noget som helst, og tre fjerdedele af dem var ude af drift.

Limes Security, det østrigske firma, der dokumenterede sagen, fastslog, hvad der var sket. Angriberne havde nået KNX-bussen via internettet, aflæsset enhederne og derefter selv sat BCU-nøglen. Nøglen er bussens lås. Den, der sætter den, har den. Ejeren havde den ikke.

Alle producenter, virksomheden kontaktede, sagde det samme: ingen nulstilling er mulig, enhederne er ubrugelige. Fuld udskiftning blev anslået til over 100.000 EUR alene i hardware. Limes Security fik til sidst nøglen tilbage ved at aflæse CPU-hukommelsen og indsnævre brute force-søgerummet nok til, at søgningen kunne nå i mål. Sagen er kendt som KNXlock, og der blev aldrig krævet løsesum.

Hvad CISA gjorde den 15. juli, og hvad der ændrede sig

Den 15. juli 2026 føjede CISA CVE-2023-4346 til sit katalog over kendte udnyttede sårbarheder, offentliggjort i katalogversion 2026.07.16 den 16. juli kl. 17:00:15Z. Fristen for udbedring er den 29. juli 2026. Det er fjorten dage. Andre poster i samme julirunde fik tre dage.

Fejlen ligger i KNX Associations KNX-protokol, nærmere bestemt i Connection Authorization Option 1. Den er klassificeret som CWE-645, en overdrevent restriktiv kontolåsning, og bærer CVSS 7.5 HIGH med vektoren AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H. Den score er ægte og ikke blot en leverandørs egen læsning: NVD har en primær 7.5 fra [email protected]. CISA registrerer kendt brug i ransomware-kampagner som ukendt. CVE'en blev offentliggjort den 29. august 2023 og sidst ændret den 16. juli 2026.

Intet ved det underliggende problem er nyt, og teksten, der beskriver det, er det heller ikke. CISA-vejledningen ICSA-23-236-01 er et dokument fra 2023, indberettet af Felix Eberstaller fra Limes Security. KNXlock er en hændelse fra 2021. Det eneste nye faktum er KEV-optagelsen og uret, der hænger på den. Det, der ændrede sig, er håndhævelsen, ikke sårbarheden.

Der findes ingen patch, og netop dét er pointen

Ingen softwareopdatering løser dette. CISA's vejledning afgrænser eksponeringen til KNX-enheder, der bruger Connection Authorization Option 1 Style, hvor der aktuelt ikke er sat en BCU-nøgle, alle versioner. Læs det omhyggeligt. Betingelsen er ikke en gammel firmwareversion. Betingelsen er en tom indstilling.

Løsningen er at sætte BCU-nøglen. Det er en konfigurationshandling, der udføres under idriftsættelsen, i integratorens projektfil, på den fysiske bus. Den kommer ikke via en patchcyklus. Den kan ikke udrulles fra en administrationskonsol. Den er usynlig for det værktøj, jeres sikkerhedsteam allerede kører, fordi det værktøj leder efter versioner, og dette er ikke et versionsproblem.

Vejledningens egne metadata siger resten højt. Lande og områder med udbredelse: Europa. Virksomhedens hovedsæde: Belgien. Sektor: Critical Manufacturing. En scanning fra Alpha Strike Labs, udført i 2023, fandt mere end 16.000 potentielt sårbare systemer i DACH-området. Det tal er tre år gammelt og skal læses som et øjebliksbillede fra 2023, ikke som dagens optælling.

Hvorfor det overlevede i tre år

Kløften er organisatorisk, ikke teknisk. At sætte en BCU-nøgle tilhører den, der satte bygningen i drift. Det er en integrator eller en driftsleverandør, der arbejder ud fra en projektfil, ofte flere år gammel, ofte under en kontrakt, der lukkede ved aflevering. Den person sidder ikke i jeres sikkerhedsteam og tager i mange tilfælde ikke længere jeres opkald.

Så fundet lander i en it-kø, hvor ingen ejer løsningen. Sikkerhedsteamet ser vejledningen og kan ikke handle. Driftsteamet kan handle og ser aldrig vejledningen. I den søm gik der tre år. MITRE føjede teknikken til ATT&CK for ICS som T0892, Change Credential, i foråret 2023, hvilket gav metoden et navn uden at give ansvaret et.

Tabsmodellen forklarer også forsømmelsen. De fleste sikkerhedsbudgetter er bygget op om en udbetaling eller en databeskyttelsespligt, og denne fejltilstand har ingen af delene. Ingen bad det tyske firma om penge, og ingen persondata blev flyttet. Angriberen satte blot nøglen, producenterne bekræftede, at der ikke var nogen vej tilbage, og hardwareregningen løb alligevel op over 100.000 EUR.

Fristen binder jer ikke, eksponeringen gør

Lad os være klare om rækkevidden. Datoen 29. juli 2026 udspringer af CISA's Binding Operational Directive BOD 26-04, og den binder amerikanske føderale civile myndigheder. Den binder ikke en europæisk ejer retligt. Hvis jeres portefølje ligger i Frankfurt eller Manchester, forpligter intet amerikansk direktiv jer til at gøre noget som helst inden den dato.

Asymmetrien er historien. Bygningerne er overvældende europæiske, standarden er europæisk, dens forening ligger i Belgien, og den bindende frist er amerikansk. Efter vores læsning er den europæiske krog NIS2 og ikke CISA-datoen, og vi tilbyder det som vores læsning og ikke som gældende ret. NIS2-pligter afhænger af jeres sektor og jeres risikostyringsforpligtelser, og en bygningsautomationsbus, der kan nås fra internettet, er et risikostyringsfaktum, uanset hvilken kalender I følger.

Handlingen kan rummes i én sætning, og den går ikke til it. Spørg jeres bygningsintegrator eller driftsleverandør om to ting: kan KNX-bussen nås fra internettet, og blev der nogensinde sat en BCU-nøgle ved idriftsættelsen. Er svaret på det andet nej, eller kan ingen finde projektfilen og fortælle jer det, så er I inden for den rækkevidde, CISA beskrev, og I er én internettilgængelig sti fra resultatet i oktober 2021.