En tysk byggnad gick på sina automatsäkringar

I oktober 2021 förlorade en medelstor anläggning som tillhörde ett tyskt ingenjörsföretag sina strömbrytare. Inte ljuset, brytarna. Personalen gick till elcentralen och slog av och på säkringarna för hand, eftersom byggnadens egna styrningar inte längre svarade. Styrningen av persiennerna försvann på samma sätt. Flera hundra KNX-komponenter satt i väggar och tak och gjorde ingenting alls, och tre fjärdedelar av dem var ur drift.

Limes Security, det österrikiska företag som dokumenterade fallet, fastställde vad som hänt. Angriparna hade nått KNX-bussen via internet, lastat ur enheterna och sedan själva satt BCU-nyckeln. Nyckeln är bussens lås. Den som sätter den innehar den. Ägaren innehade den inte.

Varje tillverkare som företaget kontaktade sade samma sak: ingen återställning är möjlig, enheterna är oanvändbara. Fullt utbyte offererades till över 100 000 EUR i enbart hårdvara. Limes Security återvann till slut nyckeln genom att läsa ut CPU-minnet och begränsa sökrymden för brute force tillräckligt för att sökningen skulle nå i mål. Fallet är känt som KNXlock, och ingen lösensumma krävdes någonsin.

Vad CISA gjorde den 15 juli, och vad som ändrades

Den 15 juli 2026 lade CISA till CVE-2023-4346 i sin katalog över kända utnyttjade sårbarheter, publicerad i katalogversion 2026.07.16 den 16 juli kl. 17:00:15Z. Åtgärdsdatumet är den 29 juli 2026. Det är fjorton dagar. Andra poster i samma julirunda fick tre dagar.

Bristen sitter i KNX Associations KNX-protokoll, närmare bestämt i Connection Authorization Option 1. Den är klassad som CWE-645, en alltför restriktiv kontolåsning, och bär CVSS 7.5 HIGH med vektorn AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H. Den poängen är verklig och inte bara en leverantörs egen läsning: NVD har en primär 7.5 från [email protected]. CISA registrerar känd användning i utpressningskampanjer som okänd. CVE:n publicerades den 29 augusti 2023 och ändrades senast den 16 juli 2026.

Ingenting i det underliggande problemet är nytt, och texten som beskriver det är det inte heller. CISA-rådet ICSA-23-236-01 är ett dokument från 2023, rapporterat av Felix Eberstaller på Limes Security. KNXlock är en incident från 2021. Det enda nya faktumet är KEV-införandet och klockan som hänger på det. Det som ändrades är kravställningen, inte sårbarheten.

Det finns ingen patch, och det är hela poängen

Ingen programuppdatering rättar detta. CISA:s råd avgränsar exponeringen till KNX-enheter som använder Connection Authorization Option 1 Style där ingen BCU-nyckel för närvarande är satt, alla versioner. Läs det noga. Villkoret är inte en gammal fast programvara. Villkoret är en tom inställning.

Åtgärden är att sätta BCU-nyckeln. Det är en konfigurationshandling som utförs vid idrifttagningen, i integratörens projektfil, på den fysiska bussen. Den kommer inte via en patchcykel. Den kan inte rullas ut från en hanteringskonsol. Den är osynlig för de verktyg ert säkerhetsteam redan kör, eftersom de verktygen letar efter versioner och detta inte är ett versionsproblem.

Rådets egna metadata säger resten högt. Länder och områden med installation: Europa. Företagets huvudkontor: Belgien. Sektor: Critical Manufacturing. En skanning från Alpha Strike Labs, utförd 2023, fann fler än 16 000 potentiellt sårbara system i DACH-området. Den siffran är tre år gammal och ska läsas som en ögonblicksbild från 2023, inte som dagens räkning.

Varför det överlevde i tre år

Glappet är organisatoriskt, inte tekniskt. Att sätta en BCU-nyckel tillhör den som tog byggnaden i drift. Det är en integratör eller en fastighetsentreprenör, som arbetar utifrån en projektfil, ofta flera år gammal, ofta under ett avtal som stängdes vid överlämnandet. Den personen sitter inte i ert säkerhetsteam och svarar i många fall inte längre på era samtal.

Så fyndet landar i en it-kö där ingen äger åtgärden. Säkerhetsteamet ser rådet och kan inte agera. Fastighetsteamet kan agera och ser aldrig rådet. I den skarven gick tre år. MITRE lade till tekniken i ATT&CK for ICS som T0892, Change Credential, våren 2023, vilket gav metoden ett namn utan att ge ansvaret ett.

Förlustmodellen förklarar också försummelsen. De flesta säkerhetsbudgetar är byggda kring en utbetalning eller en dataskyddsplikt, och detta felläge har ingetdera. Ingen bad det tyska företaget om pengar och inga personuppgifter flyttades. Angriparen satte helt enkelt nyckeln, tillverkarna bekräftade att det inte fanns någon väg tillbaka, och hårdvarunotan sprang ändå förbi 100 000 EUR.

Fristen binder er inte, exponeringen gör det

Var tydlig med räckvidden. Datumet den 29 juli 2026 uppstår enligt CISA:s Binding Operational Directive BOD 26-04 och binder amerikanska federala civila myndigheter. Det binder inte en europeisk ägare rättsligt. Om ert bestånd ligger i Frankfurt eller Manchester ålägger inget amerikanskt direktiv er att göra något till det datumet.

Asymmetrin är själva nyheten. Byggnaderna är överväldigande europeiska, standarden är europeisk, dess förening sitter i Belgien, och den bindande fristen är amerikansk. Enligt vår läsning är den europeiska kroken NIS2 och inte CISA-datumet, och vi erbjuder det som vår läsning och inte som lag. NIS2-plikterna beror på er sektor och era riskhanteringsskyldigheter, och en fastighetsautomationsbuss som går att nå från internet är ett riskhanteringsfaktum, oavsett vilken kalender ni följer.

Åtgärden ryms i en mening och den går inte till it. Fråga er fastighetsintegratör eller entreprenör två saker: går KNX-bussen att nå från internet, och sattes någonsin en BCU-nyckel vid idrifttagningen. Är svaret på den andra frågan nej, eller kan ingen hitta projektfilen för att berätta det, då ligger ni inom den räckvidd CISA beskrev och ni är en internetnåbar väg från utfallet i oktober 2021.