CERT-Bund warnt aktuell vor offenen Homematic Smart Home-Systemen. Noch immer sind Tausende Systeme per Internet erreichbar und für eine automatische Anmeldung konfiguriert.
Anzeige
Bei Homematic handelt es sich um eine Automatisierungslösung für den Heimbereich. Im Smart Home lassen sich mit Homematic-Komponenten Rolläden steuern, die Heizung oder das Licht kontrollieren. Die Homematic Komponenten können, laut Hersteller) über Zentralen und Gateways miteinander verbunden und programmiert werden. Die Homematic Zentrale CCU2 dabei übernimmt vielfältige Steuer-, Melde- und Kontrollfunktionen für alle Bereiche des Homematic Systems. Über Apps lässt sich dann das Ganze auch per Internet steuern.
Warnungen bereits im Frühjahr
CERT-Bund warnte bereits im Frühjahr 2019, dass die rund 6.000 Homematic-Systeme, die per Internet erreichbar sind, angreifbar seien. Insbesondere ist mit der Standardkonfigurierung eine automatische Anmeldung für unbefugte Dritte möglich. In alten Firmware-Versionen gab es zudem Schwachstellen. Im März 2019 gab es ein Software-Update des Herstellers, wie ich dieser Pressemeldung entnehme. Dort sind zumindest Schwachstellen behoben. Aber die automatische Anmeldung und eine eingerichtete Port-Weiterleitung bergen weiterhin Risiken.
Neue Warnung Ende August
Bereits im Mai 2019 warnte CERT-Bund, dass mehrere tausend HomeMatic SmartHome-Systeme in Deutschland offen aus dem Internet erreichbar seien. Die Nutzer haben entsprechende Port-Weiterleitungen auf ihren Routern eingerichtet. Auf über der Hälfte der Systeme ist eine automatische Anmeldung möglich.
Ein halbes Jahr nach dem Start unserer Benachrichtigungen zu direkt aus dem Internet erreichbaren #HomeMatic #SmartHome-Systemen hat erst die Hälfte der Nutzer reagiert. Auf den meisten Systemen ist noch immer eine automatische Anmeldung aktiviert … pic.twitter.com/Vy2NSDqwbi
— CERT-Bund (@certbund) August 28, 2019
Anzeige
In obigem Tweet hat CERT-Bund vor einigen Tagen nachgelegt. Es haben zwar einige Benutzer nach den ersten Warnungen reagiert. Aber noch immer sind um die 3.000 Systeme offen. Wer also ein Smart Home mit HomeMatic-Komponenten betreibt, sollte dessen Konfigurierung überprüfen. Ein paar zusätzliche Informationen finden sich in diesem heise-Artikel.
Anzeige
Hi. Ganz so wie hier durch den CERT dargestellt ist es nicht. Der Hersteller warnt die User schon vor diesen damaligen Sicherheitslücken und stellt fast monatlich Updates für die Zentralen bereit. Aber wenn die User nicht updaten und Ihre Systeme mit Standardpasswörtern per Portforwarding ins Netz hängen, dann kann man Ihm da keinen Vorwurf machen. Mittlerweile wird auch auch VPN-Dienst angeboten. Zudem gibt es mehrere Community-Lösungen. Ich selbst habe die Kiste nicht im Internet, denn da hört smarthome für mich persönlich auf…
Ganz so wie vom Leser nhauke in der Kommentarfunktion dargestellt ist es nun auch wieder nicht.
Einen VPN Zugang einrichten ist für den Otto Normal Internetbenutzer Hexenwerk und die breite Masse möchte von Unterwegs auf seine Systeme zugreifen.
Ein Großteil der Verantwortung liegt bei eQ-3, auch wenn diese es gerne anders sehen würden.
Warum? Es gibt Systeme, die sind im Internet erreichbar und mit entsprechenden Absicherungen versehen, damit sie einen Angriff überstehen oder abwehren können.
Ja, Portforwarding kann unsicher sein, wenn das angesprochene System unsicher ist. Jedoch ist das Portforwarding nur der Durchreicher/Übermittler der Nachrichten. Das Zielsystem ist hier in der Pflicht.
Eine Warnung vor Portforwarding schützt keinen Hersteller vor seiner Verantwortung sichere Systeme bereitzustellen.
Mein Vergleich: Ein Haus zu bauen ohne Haustür und dem Besitzer dann vorzuwerfen sein Gartentor nicht abzuschließen ist in etwa das was eQ-3 suggeriert.
Es mag monatliche oder zumindest regelmäßige Firmware Updates geben, diese enthalten jedoch meist nur Funktionsupdates oder wie in letzter Zeit neue Fehler, weil die QS nicht ordentlich getestet hat.
Es wurde dieses Jahr genau nur ein Sicherheitsupdate an die große Glocke gehangen über die Presseabteilung von eQ-3. Die vielen anderen schwerwiegenderen Sicherheitsupdates, die es nur auf (massiven) Druck geschafft haben, wurden komplett im Stillen "untergeschoben".
Auch heute noch gilt: Eine CCU2 mit wirklich super sicherem Passwort und TLS Verschlüsselung schützt absolut nicht vor einem total simplen RCE Angriff. Die betroffene Lücke ist nun schon über 22 Monate öffentlich bekannt.
Und die Ende Februar/ Anfang März im Internet offen erreichbaren über 10000 vermeintlichen Homematic Systeme sind nicht nur durch die Benachrichtigungen der Internet Provider an dessen Kunden zum Portforwarding dicht gemacht worden. Mittlerweile verschleiert eine CCU einfach nur seine Identität. Aktuell sind noch mindestens 2352 Systeme offen erreichbar, die Dunkelziffer kann also immer noch viel höher sein.
Ich habe hier leider meine eigenen Erfahrungen mit eQ-3 gemacht und weiß was hinter den Kulissen (nicht) passiert ist.
Was ist der aktuelle Stand?
RCE Angriffe sind doch nur aus dem eigenem LAN möglich, oder sehe ich das Falsch?
Der aktuelle Stand ist im Artikel Schwachstellen in eQ-3 Homematic CCU Smart Home Systemen thematisiert.