Een Duits gebouw draaide op zijn groepenkast
In oktober 2021 verloor een middelgrote locatie van een Duits ingenieursbedrijf zijn lichtschakelaars. Niet het licht, de schakelaars. Medewerkers liepen naar de verdeelkast en zetten de automaten met de hand om, omdat de eigen besturing van het gebouw niet meer antwoordde. De zonweringsbesturing verdween op dezelfde manier. Enkele honderden KNX-componenten zaten in muren en plafonds en deden helemaal niets, en driekwart daarvan was buiten bedrijf.
Limes Security, het Oostenrijkse bedrijf dat de zaak documenteerde, stelde vast wat er gebeurd was. Aanvallers hadden de KNX-bus via internet bereikt, de apparaten ontladen en vervolgens zelf de BCU-sleutel ingesteld. De sleutel is het slot van de bus. Wie hem instelt, heeft hem. De eigenaar had hem niet.
Elke fabrikant die het bedrijf benaderde zei hetzelfde: resetten is niet mogelijk, de apparaten zijn onbruikbaar. Volledige vervanging werd geraamd op ruim 100.000 EUR aan hardware alleen. Limes Security haalde de sleutel uiteindelijk terug door het CPU-geheugen uit te lezen en de zoekruimte voor brute kracht zo ver in te perken dat de zoektocht afliep. De zaak staat bekend als KNXlock, en er is nooit losgeld geëist.
Wat CISA op 15 juli werkelijk deed
Op 15 juli 2026 voegde CISA CVE-2023-4346 toe aan de catalogus van bekend misbruikte kwetsbaarheden, gepubliceerd in catalogusversie 2026.07.16 op 16 juli om 17:00:15Z. De hersteldatum is 29 juli 2026. Dat is een venster van veertien dagen. Andere vermeldingen in dezelfde julironde kregen drie dagen.
Het lek zit in het KNX-protocol van de KNX Association, specifiek in Connection Authorization Option 1. Het is geclassificeerd als CWE-645, een te restrictieve accountvergrendeling, en draagt CVSS 7.5 HIGH met vector AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H. Die score is reëel en niet slechts de lezing van een leverancier: NVD houdt een primaire 7.5 van [email protected]. CISA registreert bekend gebruik in ransomwarecampagnes als onbekend. De CVE is gepubliceerd op 29 augustus 2023 en voor het laatst gewijzigd op 16 juli 2026.
Aan het onderliggende probleem is niets nieuw, en het stuk tekst dat het beschrijft evenmin. CISA-advies ICSA-23-236-01 is een document uit 2023, gemeld door Felix Eberstaller van Limes Security. KNXlock is een incident uit 2021. Het enige nieuwe feit is de KEV-opname en de klok die eraan hangt. Wat veranderde is de handhaving, niet de kwetsbaarheid.
Er is geen patch, en dat is juist het punt
Geen enkele software-update lost dit op. Het advies van CISA bakent de blootstelling af als KNX-apparaten die Connection Authorization Option 1 Style gebruiken waarin momenteel geen BCU-sleutel is ingesteld, alle versies. Lees dat zorgvuldig. De voorwaarde is geen oude firmwareversie. De voorwaarde is een lege instelling.
Het herstel is het instellen van de BCU-sleutel. Dat is een configuratiehandeling tijdens de inbedrijfstelling, in het projectbestand van de integrator, op de fysieke bus. Het komt niet via een patchcyclus. Het kan niet vanuit een beheerconsole worden uitgerold. Het is onzichtbaar voor het gereedschap dat uw securityteam al draait, want dat gereedschap zoekt naar versies en dit is geen versieprobleem.
De metadata van het advies zeggen de rest hardop. Ingezet in landen en gebieden: Europa. Hoofdkantoor van het bedrijf: België. Sector: Critical Manufacturing. Een scan van Alpha Strike Labs, uitgevoerd in 2023, vond meer dan 16.000 potentieel kwetsbare systemen in het DACH-gebied. Dat getal is drie jaar oud en moet worden gelezen als een momentopname uit 2023, niet als de telling van vandaag.
Waarom het drie jaar overleefde
De kloof is organisatorisch, niet technisch. Het instellen van een BCU-sleutel hoort bij degene die het gebouw in bedrijf stelde. Dat is een integrator of een onderhoudspartij, werkend vanuit een projectbestand, vaak van jaren geleden, vaak onder een contract dat bij oplevering sloot. Die persoon zit niet in uw securityteam en neemt in veel gevallen uw telefoontjes al lang niet meer aan.
De bevinding landt dus in een IT-wachtrij waar niemand het herstel bezit. Het securityteam ziet het advies en kan niet handelen. Het gebouwbeheerteam kan handelen en ziet het advies nooit. In die naad zijn drie jaar verstreken. MITRE voegde de techniek in het voorjaar van 2023 toe aan ATT&CK for ICS als T0892, Change Credential, wat de methode een naam gaf zonder de verantwoordelijkheid een naam te geven.
Ook het financiële verliesmodel verklaart de verwaarlozing. De meeste securitybudgetten zijn gebouwd rond een uitbetaling of een gegevensbeschermingsplicht, en deze faalwijze heeft geen van beide. Niemand vroeg het Duitse bedrijf om geld en er zijn geen persoonsgegevens verplaatst. De aanvaller zette simpelweg de sleutel, de fabrikanten bevestigden dat er geen weg terug was, en de hardwarerekening liep toch op tot boven 100.000 EUR.
De deadline bindt u niet, de blootstelling wel
Wees helder over de reikwijdte. De datum 29 juli 2026 komt voort uit de Binding Operational Directive BOD 26-04 van CISA en bindt Amerikaanse federale civiele instanties. Een Europese eigenaar bindt hij juridisch niet. Staat uw portefeuille in Frankfurt of Manchester, dan verplicht geen Amerikaanse richtlijn u om op die datum iets te doen.
De asymmetrie is het verhaal. De gebouwen zijn overweldigend Europees, de standaard is Europees, de vereniging zit in België, en de bindende deadline is Amerikaans. Naar onze lezing is de Europese haak NIS2 en niet de datum van CISA, en dat bieden wij aan als onze lezing en niet als recht. NIS2-plichten hangen af van uw sector en uw risicomanagementverplichtingen, en een gebouwautomatiseringsbus die vanaf internet bereikbaar is, is een feit van risicomanagement, welke kalender u ook aanhoudt.
De handeling past in één zin en gaat niet naar IT. Vraag uw gebouwintegrator of onderhoudspartij twee dingen: is de KNX-bus bereikbaar vanaf internet, en is er bij de inbedrijfstelling ooit een BCU-sleutel ingesteld. Is het antwoord op het tweede nee, of kan niemand het projectbestand vinden om het te zeggen, dan valt u binnen de reikwijdte die CISA beschreef en bent u één vanaf internet bereikbaar pad verwijderd van de uitkomst van oktober 2021.
Lees hierna: Een vervalst token opent elke pc die de tool beheert | Uw MFA-seeds vertrokken voor u patchte



