Niemiecki budynek pracował na bezpiecznikach

W październiku 2021 roku średniej wielkości zakład niemieckiej firmy inżynieryjnej stracił włączniki światła. Nie światło, włączniki. Pracownicy chodzili do rozdzielnicy i przestawiali bezpieczniki ręcznie, ponieważ własne sterowanie budynku przestało odpowiadać. Sterowanie roletami zniknęło w ten sam sposób. Kilkaset komponentów KNX tkwiło w ścianach i sufitach, nie robiąc zupełnie nic, a trzy czwarte z nich było niesprawnych.

Limes Security, austriacka firma, która udokumentowała tę sprawę, ustaliła przebieg zdarzeń. Napastnicy dotarli do magistrali KNX przez internet, rozładowali urządzenia, a następnie sami ustawili klucz BCU. Klucz jest zamkiem magistrali. Kto go ustawia, ten go ma. Właściciel go nie miał.

Każdy producent, do którego firma się zwróciła, mówił to samo: reset nie jest możliwy, urządzenia są bezużyteczne. Pełną wymianę wyceniono na ponad 100 000 EUR w samym sprzęcie. Limes Security ostatecznie odzyskała klucz, zrzucając pamięć procesora i zawężając przestrzeń ataku siłowego na tyle, by przeszukiwanie dobiegło końca. Sprawa znana jest jako KNXlock i nigdy nie zażądano w niej okupu.

Co CISA zrobiła naprawdę 15 lipca

15 lipca 2026 roku CISA dodała CVE-2023-4346 do katalogu znanych wykorzystywanych podatności, opublikowanego w wersji katalogu 2026.07.16 dnia 16 lipca o godzinie 17:00:15Z. Termin usunięcia to 29 lipca 2026 roku. To okno czternastu dni. Inne wpisy z tej samej lipcowej tury dostały trzy dni.

Luka tkwi w protokole KNX opracowanym przez KNX Association, konkretnie w Connection Authorization Option 1. Sklasyfikowano ją jako CWE-645, nadmiernie restrykcyjną blokadę konta, i ma CVSS 7.5 HIGH z wektorem AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H. Ta ocena jest prawdziwa, a nie jedynie odczytem producenta: NVD prowadzi ocenę pierwotną 7.5 wystawioną przez [email protected]. CISA odnotowuje znane użycie w kampaniach ransomware jako nieznane. CVE opublikowano 29 sierpnia 2023 roku, a ostatnio zmieniono 16 lipca 2026 roku.

W samym problemie nie ma nic nowego, a tekst, który go opisuje, też nowy nie jest. Zalecenie CISA ICSA-23-236-01 to dokument z 2023 roku, zgłoszony przez Felixa Eberstallera z Limes Security. KNXlock to incydent z 2021 roku. Jedynym nowym faktem jest wpis do KEV i zegar, który do niego doczepiono. Zmieniło się egzekwowanie, a nie podatność.

Nie ma łatki i właśnie o to chodzi

Żadna aktualizacja oprogramowania tego nie naprawi. Zalecenie CISA zakreśla ekspozycję jako urządzenia KNX używające Connection Authorization Option 1 Style, w których obecnie nie jest ustawiony klucz BCU, wszystkie wersje. Proszę przeczytać to uważnie. Warunkiem nie jest stara wersja oprogramowania układowego. Warunkiem jest puste ustawienie.

Naprawą jest ustawienie klucza BCU. To czynność konfiguracyjna wykonywana podczas uruchomienia instalacji, w pliku projektowym integratora, na fizycznej magistrali. Nie przychodzi w cyklu łatek. Nie da się jej wdrożyć z konsoli zarządzania. Jest niewidoczna dla narzędzi, które Państwa zespół bezpieczeństwa już posiada, bo te narzędzia szukają wersji, a to nie jest problem wersji.

Resztę mówią głośno same metadane zalecenia. Kraje i obszary wdrożenia: Europa. Siedziba spółki: Belgia. Sektor: Critical Manufacturing. Skanowanie przeprowadzone przez Alpha Strike Labs w 2023 roku znalazło ponad 16 000 potencjalnie podatnych systemów na obszarze DACH. Ta liczba ma trzy lata i należy ją czytać jako migawkę z 2023 roku, a nie jako dzisiejszy stan.

Dlaczego przetrwała trzy lata

Luka jest organizacyjna, nie techniczna. Ustawienie klucza BCU należy do tego, kto uruchamiał budynek. To integrator albo wykonawca utrzymania, pracujący na pliku projektowym, często sprzed lat, często na umowie zamkniętej wraz z odbiorem. Ta osoba nie pracuje w Państwa zespole bezpieczeństwa i w wielu przypadkach dawno przestała odbierać telefony.

Zgłoszenie ląduje więc w kolejce IT, w której nikt nie jest właścicielem naprawy. Zespół bezpieczeństwa widzi zalecenie i nie może działać. Zespół techniczny budynku może działać i zalecenia nigdy nie widzi. W tym szwie minęły trzy lata. MITRE dodała tę technikę do ATT&CK for ICS jako T0892, Change Credential, wiosną 2023 roku, co nadało nazwę metodzie, ale nie nadało nazwy odpowiedzialnemu.

Zaniedbanie tłumaczy też model straty. Większość budżetów bezpieczeństwa zbudowano wokół wypłaty albo obowiązku ochrony danych, a ten rodzaj awarii nie ma ani jednego, ani drugiego. Nikt nie zażądał od niemieckiej firmy pieniędzy i żadne dane osobowe nie zostały ruszone. Napastnik po prostu ustawił klucz, producenci potwierdzili, że nie ma drogi powrotnej, a rachunek za sprzęt i tak przekroczył 100 000 EUR.

Termin Państwa nie wiąże, ekspozycja nadal wiąże

Powiedzmy jasno o zakresie. Data 29 lipca 2026 roku wynika z Binding Operational Directive BOD 26-04 wydanej przez CISA i wiąże amerykańskie federalne agencje cywilne. Nie wiąże prawnie właściciela w Europie. Jeśli Państwa portfel nieruchomości leży we Frankfurcie albo w Manchesterze, żadna amerykańska dyrektywa nie zobowiązuje Państwa do niczego na ten dzień.

Asymetria jest tu istotą sprawy. Budynki są w przeważającej mierze europejskie, standard jest europejski, jego stowarzyszenie ma siedzibę w Belgii, a wiążący termin jest amerykański. W naszym odczytaniu europejskim punktem zaczepienia jest NIS2, a nie data CISA, i przedstawiamy to jako nasze odczytanie, a nie jako prawo. Obowiązki z NIS2 zależą od Państwa sektora i od Państwa powinności w zarządzaniu ryzykiem, a magistrala automatyki budynkowej osiągalna z internetu jest faktem z obszaru zarządzania ryzykiem, niezależnie od tego, jaki kalendarz Państwo prowadzą.

Działanie mieści się w jednym zdaniu i nie trafia do IT. Proszę zapytać integratora budynku albo wykonawcę utrzymania o dwie rzeczy: czy magistrala KNX jest osiągalna z internetu i czy przy uruchomieniu kiedykolwiek ustawiono klucz BCU. Jeśli odpowiedź na drugie pytanie brzmi nie, albo jeśli nikt nie potrafi znaleźć pliku projektowego, żeby ją udzielić, to mieszczą się Państwo w zakresie opisanym przez CISA i dzieli Państwa jedna osiągalna z internetu ścieżka od skutku z października 2021 roku.