Schwachstellen in eQ-3 Homematic CCU Smart Home Systemen

Wie steht es mit der Sicherheit bei Smart Home Systemen von eQ-3 Homematic und speziell der Smart Home Zentrale (CCU)? Die Systeme stellen ja so etwas wie einen Standard zur Heimautomatisierung dar. Und es gibt inzwischen mehrere Generationen der Smart Home Zentrale.


Anzeige

Hier im Blog habe ich ja gelegentlich über Sicherheitsprobleme bei Smart Home-Systemen berichtet. Die letzte Diskussion rankte sich um die eQ-3 Homematic-Systeme – und ich hatte in diesem Kommentar einige Punkte angesprochen, die mir etwas Stirnrunzeln verursachen. Beim solchen Diskussionen mache ich meist einen Kurzcheck im Internet, was es dort zur Sicherheit zu finden gibt. Im Kommentar hatte ich diese Pressemitteilung des Herstellers zu geschlossenen Sicherheitslücken bei eQ-3-Systemen verlinkt. Und ich hatte auf diesen Artikel eines Testers verwiesen, der kein so 'glattes Bild' beschreibt. Aber diese Artikel sind schon etwas älter und vielleicht hat sich ja was gebessert?

Das eQ-3 Homematic-System

Es geht im Kern um das eQ-3 Homematic-System, welches auf dieser Webseite beschrieben wir. Es schein ein ausgereiftes System in Modulbauweise zu sein, welches mit verschiedenen Modulen alles, von der Heizungssteuerung, zur Sicherheitsüberwachung, zur Lichtsteuerung, bis zur Klimasteuerung etc.  einiges abdeckt. Ein Bussystem vereinfacht die Montage, die Verwaltung kann über die Smart Home Zentrale (CCU) im lokalen Netzwerk, aber auch über das Internet erfolgen.

Hört sich solide an, wird wohl in Deutschland entwickelt und ist schon einige Jahre verfügbar. Aber bei den Stichworten Heimvernetzung und Steuerung über das Internet taucht bei mir sofort die Frage 'Wie sicher ist das alles?' auf.

eQ-3 Homematic CCU mit RCE-Schwachstellen?

Über diesen Artikel hatte ich ja bereits mitbekommen, dass jemand einige Schwachstellen in der Smart Home Zentrale (CCU) der eQ-3 Homematic gefunden und an den Hersteller gemeldet hatte. Dem Artikel zufolge läuft die Beseitigung dieser Schwachstellen, die im Januar 2019 dem Hersteller gemeldet wurden, äußerst zäh. Zumindest lässt sich dort der Vorwurf nachlesen, dass manche Schwachstellen nie behoben wurden oder das Patches neue Sicherheitslücken aufgerissen haben.


Anzeige

Die Tage meldete sich der Urheber dieses Artikels mit dem Hinweis, dass die eQ-3 Homematic CCU Smart Home Systeme durch einen Cocktail an verschiedenen RCE Sicherheitslücken immer noch angreifbar seien. Ich kann mangels Hardware und Ressourcen nichts überprüfen. Der Betreffende gab an, dass die Produktlösung mit Access Point via Cloud-Anbindung hiervon nicht betroffen sei. Zur Motivation schreibt der Betreffende:

Nach nun sehr langem und zähem und teils erfolglosem Ringen um Sicherheitsupdates denke ich, dass die Besitzer von eQ-3 Homematic CCU
Smart Home Systemen zumindest gewarnt oder sensibilisiert werden sollten.

Der unbedarfte Ottonormalverbraucher wird sich der möglichen
Auswirkungen gar nicht bewusst sein. Die Homematic User-Foren Mitglieder spielen die Angriffsmöglichkeiten runter. „Wer ist schon interessiert an meinem Smart Home. Lampen Ein/Aus schalten, wem bringt das was?" Und „mein WLAN ist sicher" ist auch gerne ein Totschlag Argument.

Der Blog-Leser verweist darauf, dass der Mirai Abkömmling Echobot auch Homematic
CCU Zentralen mit einer anderen zwei Jahre alten Sicherheitslücke befallen kann. Von meiner Seite kann ich beisteuern, dass Angriffe auf schlecht abgesicherte Home Automation-Systeme in den USA jetzt ein Problem darstellen (siehe den Artikel Smart Home: Der 'Feind' sitzt nebenan).

Ungefixte Schwachstelle CVE-2018-7297 seit 2018

Der Blog-Leser gibt an, dass es verschiedene Möglichkeiten einer recht simplen RemoteCodeExecution gäbe, die die Homematic Smart Home Zentrale (CCU) und dadurch das eigene lokale Netzwerk gefährden. Er führt die seit 2018 öffentlich bekannte Schwachstelle CVE-2018-7297 in der CCU2 an, für die es bisher seitens des Herstellers kein Sicherheitsupdate gibt.

Vom Hersteller, so die Aussage des Lesers, habe es die Begründung gegeben, 'dass die Behebung evtl. nicht wirtschaftlich sinnvoll lösbar ist', da sonst 3rd-Party Partnererweiterungen nicht mehr laufen würden. Die HTTP POST Requests auf Port 80 werden somit weiterhin nicht wie bei einer CCU3 geblockt.

Fehlende Authentifizierungsmöglichkeiten?

Auf einer CCU2 und CCU3 und auch den Community Varianten RaspberryMatic und piVCCU3 kann zusätzlich bei falscher (lokaler Firewall) Konfiguration oder fehlender Grundsicherung derselbe Request auf Port 8181 abgesetzt werden. Die CCU2 besitzt hier nicht einmal eine Authentifizierungsmöglichkeit, während diese Möglichkeit auf den anderen Systemen erst optional eingeschaltet werden muss.

AddOn-Software als Problem

Eine CCU Zentraleinheit kann mit zusätzlicher AddOn-Software erweitert werden, was für Funktionserweiterungen ganz nett ist. Diese Erweiterungen liefern durch fehlende Authentifizierung weitere Schwachstellen mit RCE Möglichkeiten. Hier ist nicht eQ-3 als Hersteller in der Pflicht, sondern die Privatentwickler der AddOns. Hier eine Übersicht der AddOns mit Problemen.

  • 'CUxD' CVE-2019-14985
  • 'XML-API' CVE-2019-14984
  • 'ScriptParser' CVE-2019-18937
  • 'E-Mail' CVE-2019-18938
  • 'HM-Print' CVE-2019-18939

Der Leser schreibt, dass auch diese AddOns bisher nicht gefixt wurden. Zudem merkt der Leser an, dass eQ-3 bei Vorhandensein eines AddOn automatisch jeglichen Support verweigere. Da stellt sich aber die Frage: Warum bietet der Hersteller die Installation weiterer Pakete an, um dann den Support für die eigene Software zu verweigern?

Fehlende Firmware-Updates als Risiko

Da die Benutzer die nötigen Firmware-Updates zum Schließen von Schwachstellen nicht installieren, eröffnet dies weitere Sicherheitslücken, so der Blog-Leser. Zudem gibt er an, dass es genügend Beispiele gäbe, wo durch ein neues Update auch neue Fehler eingebaut wurden und viele Benutzer bewusst den Leitsatz „never change a running system" verfolgen.

Sollten Benutzer bei der CCU2 Firmware älter als 2.47.18 oder bei der CCU3 älter als  3.47.18 einsetzen, gibt es die Sicherheitslücke CVE-2019-16199.

Weitere potentielle Schwachstelle: Die CCU bietet bis heute in der Grundkonfiguration ein AutoLogin an, welches der Benutzer erst aktiv ausschalten muss.
Mit diesem AutoLogin wird eine gültige Login-Session erzeugt, welche für weitere Zugriffe auf die WebUI oder die JSON und XML-RCP APIs genutzt werden kann. So ist eine weitere Remote Code Execution über die Schwachstelle CVE-2019-15850 möglich. Mit diesem AutoLogin wird eine gültige Login-Session erzeugt, welche für weitere Zugriffe auf die WebUI oder die JSON und XML-RCP APIs genutzt werden kann. So ist eine weitere Remote Code Execution über die Schwachstelle CVE-2019-15850 möglich.

Gibt es eine Absicherung?

Die Frage ist, ob sich ein lokales Netzwerk so abschotten lässt, dass Angriffe per Internet nicht möglich sind. Der Blog-Leser schreibt: Leider Nein, aber ich kann und will gar nicht alle Möglichkeiten aufzeigen, und ergänzt: Wer sein Netzwerk semiprofessionell abschottet, VLANs nutzt, die CCU Einstellungen restriktiv einstellt, niemanden ins eigene WLAN lässt, auch die eigenen Kinder das nicht machen und kein Port Forwarding nutzt,
der könnte halbwegs sicher sein.

Aber selbst wenn eQ-3 und die AddOn Entwickler alle Lücken schließen würden, wären am Ende natürlich die CCU-Besitzer auch in der Verantwortung Updates einzuspielen. Die Zahl aller installierten CCU-Systeme ist unbekannt, die der im Internet sichtbaren Installationen aber schon. Man kann diese über Suchmaschinen wie Shodan und Censys abfragen und kommt auf eine vierstellige Trefferzahl. Der Blog-Leser hatte entsprechende Hinweise an CERT-Bund geschickt, die dann letztes Jahr zweimal darüber berichtet haben.

Potentiell gefährdet sind auch Installationen, die "nur" in unsicheren (W)LAN-Umgebungen (ohne Internetanbindung) betrieben werden. Deren Anzahl dürfte ebenfalls eine beachtliche Größe erreichen.

Würde man auf die Systeme gehen, wäre sicher eine größere Anzahl davon mit alten Firmware Versionen und/oder dem aktivierten AutoLogin konfiguriert. Aber das darf man ja aus rechtlichen Gründen nicht überprüfen. Weitere Details lassen sich in diesem Blog-Beitrag nachlesen.

In Summe ist das ein sehr gefährlicher Cocktail, und mich beschleicht ein recht mulmiges Gefühl. Von daher bin ich froh, keine solche Komponenten in meiner Umgebung einzusetzen. Keine Ahnung, wie das die Betreiber der Smart Home Systeme von eQ-3 Homematic so sehen. Jemand unter den Blog-Lesern mit Erfahrungen auf diesem Gebiet?

Ähnliche Artikel:
Smart Home: Der 'Feind' sitzt nebenan
IoT: Nachholbedarf bei der Sicherung des Smart Homes
CERT-Bund warnt vor offenen Homematic Smart Home-Systemen
Smart Home: Verbraucher bleiben skeptisch
Avast: 15,5 % der Smart Home-Geräte mit Sicherheitslücken
Bugs im Samsung IoT Hub gefährden Smart Home-Sicherheit
Philips Hue-Bridge Version 1.0 bald Elektroschrott
eco Verband warnt vor Smart Home Hacks
Schwachstellen in beliebter smarter Steckdose
Telekom Qivicon Server-Ausfall: Smart Homes kaputt
SmartHome und die Sicherheit
Smarte Technik: Auf IT-Sicherheit achten
Update auf iOS 11.2.1 fixt HomeKit-Remote-Sicherheitslücke
Nest beschließt Aus für Revolv Smart Hubs
Home-Automatisierung: Teuer und sicherheitsanfällig …
Open Smart Grid-Protokoll enthält Sicherheitslücken
Sicherheitsinfos (6.3.2020)


Anzeige

Dieser Beitrag wurde unter Sicherheit, Smart Home abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Schwachstellen in eQ-3 Homematic CCU Smart Home Systemen

  1. Steffen sagt:

    Moin, bei mir zu Hause setze ich den Max Cube ein mit Thermostaten. Der Cube ist auch per LAN angebunden. Sind für den auch Sicherheitslücken bekannt?

  2. Gaga sagt:

    Als Nutzer des Homematic Systems eine Frage an die Techniker unter Euch (ich bin kein Netzwerk versteher und habe dazu nur Grundlagenwissen…):
    Wir betreiben unsere Homematic intern, also im LAN. Einen offene Zugang (Portfreigaben usw. gibt es nicht. Port 80 usw. sind von außen nicht zugänglich.) Die CCU hängt an einer Fritzbox. Frage: Wie könnte da jemand auf unsere CCU kommen?
    Die oben genannten Möglichkeiten kann ich leider nicht nachvollziehen.

    • Günter Born sagt:

      Ich verlinke an dieser Stelle mal den Artikel CERT-Bund warnt vor offenen Homematic Smart Home-Systemen, wo ein Kommentar zu diesem Themenfeld von psytester zu finden ist. Wenn alles 'abgesichert ist', müsste das im LAN sicher sein – die Krux ist 'alles abgesichert' – wäre nur durch einen Penetrationstest von außen abklärbar – und der Insider weiß 'der Teufel ist ein Eichhörnchen' – Du richtest heute was ein, aber weißt Du, dass das für immer und ewig so bleibt?

  3. jup sagt:

    Seit einer Abschaltung eines Dienstes aus dem Homematic Umfeld liegen hier ein paar Teile Elektroschrott. Das zugrundeliegende Protokoll wurde nicht offengelegt, so das ein Nachbau nicht möglich ist.
    Seit dem steht eQ-3 / Homematic auf der Blacklist …

  4. Uwe sagt:

    Ich nutze zum Öffnen der Türen solch komische Dinger aus Metall. Nennt man wohl Schlüssel … auch nicht perfekt, können aber nicht über das Internet angegriffen werden … gehen auch ohne Strom …

  5. psytester sagt:

    Ich wurde gebeten auf die ersten Nutzerkommentare einzugehen.

    Die Frage zum Max Cube:
    Kann zumindest nicht ich beantworten. Ist aber in etwas genau das was bei mir vor einem Jahr passiert ist.
    Am Anfang war noch alles gut, deutscher Hersteller mit deutscher Entwicklung. Es muss sich immer erst jemand finden, der diese Systeme analysiert.
    Wo ein SSH Zugang vorhanden ist, um dann auf ein Linux System zu kommen ist das jedenfalls leichter möglich.
    Die CCU2 werkelte schon ein paar Monate vor sich hin „und irgendwann war mir langweilig".
    Ich habe den SSH Zugang aktiviert und mich auch der CCU umgesehen und das Zusammenspiel der Prozesse analysiert.
    Nur durch das Prüfen der Bestandssoftware war auch gleich Out of the Box ein DoS Angriff möglich.
    Dazu durchsuche ich gerne die CVEs der letzten Jahre mit diesen zwei Seiten
    https://cve.mitre.org/cve/search_cve_list.html und https://www.cvedetails.com

    Angespornt habe ich den ReGa Prozess auf simple Art und Weise untersucht und eine RCE Schwachstelle gefunden. Das Ende von diesem Lied war: Wenn ich weiß, nach welcher Nadel ich suchen muss, weiß ich auch in welchem (…)haufen ist suchen muss. Genau diese RCE war zu dieser Zeit schon ein Jahr als besagter CVE bekannt. Ich war naiv zu glauben, nur weil es CVEs gibt, gibt es vom Hersteller auch Updates dazu. Die folgenden Monate hatten mich eines besseren belehrt.

    Die Frage zur Homematic hinter einem Router:
    Der Teil des Artikels ist wahrscheinlich zu missverständlich geschrieben. Ich versuche es noch mal anders zu beleuchten.
    Ist das eigene Netzwerk von außen nicht erreichbar, gibt es eventuell keine externen Angriffsmöglichkeiten aus dem Internet.
    Warum nur eventuell? Weil nichts sicher ist. Nach dem Update ist vor dem Update.
    Erst Anfang März gab es zu den Netgear Routern einen Fix zur RCE Schwachstelle PSV-2019-0076.
    Ok, der Angreifer übernimmt erst mal „nur" den Router, kann von dort dann aber ins interne Netz zugreifen.
    Der Blickpunkt nur im internen LAN:
    Meine Schwiegereltern z.B. lassen jeden ins eigene WLAN (ja selbst schuld, aber prozentual sind das sicher sehr viele die das so machen). Wer kein Gäste WLAN eingerichtet hat (weil er einfach technisch unbedarft ist …..) oder wer z.B. Kinder hat wird das auch kennen. Viele Geräte im LAN.
    Nehmen wir mal an, die eigenen (zwielichtigen) Freunde oder die (zwielichtigen) Freunde der Kinder sind technisch nicht doof und wissen das es eine Homematic Steuerung gibt.
    Einmal im LAN —> Der verlinkte Artikel beschreibt genau das, was passieren kann: Smart Home: Der 'Feind' sitzt nebenan.

  6. psytester sagt:

    Je nachdem, wer eine Sicherehitslücke meldet, wird bei eQ-3 ernst genommen?

    Diese Meldung kam grade frisch rein für eine andere sehr alte Sicherheitslücke aus 2018 und da war die Behebung unter 90 Tage:

    Forscher des IT-Sicherheitsherstellers ESET haben in drei beliebten Smart-Home-Kontrollzentralen und Geräten gravierende Sicherheitslücken entdeckt. Zu den betroffenen Geräten zählen die in Deutschland an Privatanwender und kleinen Unternehmen viel verkauften HomeMatic Central Control Unit (CCU2), Fibaro Home Center Lite und eLAN-RF-003. Über die Schwachstellen können sich Angreifer die Kontrolle über die Geräte verschaffen und dadurch Man-in-the-middle-Angriffe durchführen, Opfer belauschen, sensible Daten stehlen, Hintertüren öffnen oder Root-Zugriff auf einige der Geräte erlangen. Im schlimmsten Fall schaffen es Hacker, über die Schaltzentralen die umfassende Kontrolle über das jeweilige Smart Home zu erlangen.

    siehe auch hier:
    https://www.welivesecurity.com/deutsch/2020/04/22/kritische-sicherheitsluecken-in-3-smart-home-hubs/

  7. Michael sagt:

    Wie sehe ich das als frisch gebackener Homematic-Anwender? Mit sehr gemischten Gefühlen. Im Homematic-Forum wird darauf rumgeritten, das man kein PortForwarding einrichten darf. Das es weitere Sicherheitslücken gibt, wird in der Tat verschwiegen.

    Andererseits verstehe ich das mit meinem (un)gesundenHalbwissen so, das ein Zugriff auf die CCU erstmal erfordert, das jemand "in mein Netz einbricht". Und wenn jemand in meinem Netz ist, dann ist die Hausautomation mein geringstes Problem. Dann hat er im Zweifel Zugriff auf alle meine Passwörter, auf mein Online-Banking,…
    Oder sehe ich das falsch?

    • psytester sagt:

      Ja, wenn kein Portforwarding zur CCU aktiviert ist, ist es erstmal sehr unwahrscheinlich, dass jemand von außen Zugriff auf die CCU erhält.
      Aber Router haben eben auch mal Sicherheitslücken, die ausgenutzt werden können. Das der Angreifer dann eine CCU vorfindet und nur diese angreift ist natürlich unwahrscheinlich. Sie ist aber mit all ihren Lücken ein weiterer Angriffsvektor im LAN und ein sehr guter Ausgangspunkt um sich weiter umzusehen.

      Problematisch wird es eher, wenn Du z.B. eine LAN Buchse draußen auf der Terasse hast oder "jeder" deiner Gäste in dein WLAN darf ohne Gäste WLAN Funktion oder der vermeintliche nette/beste Kumpel oder Nachbar von nebenan, der es schafft dir dein WLAN Zugang abzuschwatzen.

      Nicht nur im beruflichen Umfeld nennt man das Social Engineering und das klappt leider immer wieder Teils sehr gut.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.