{"id":290451,"date":"2024-01-14T00:19:00","date_gmt":"2024-01-13T23:19:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=290451"},"modified":"2024-01-13T13:45:03","modified_gmt":"2024-01-13T12:45:03","slug":"bitdefender-findet-schwachstellen-in-bosch-bcc100-thermostaten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/01\/14\/bitdefender-findet-schwachstellen-in-bosch-bcc100-thermostaten\/","title":{"rendered":"Bitdefender findet Schwachstellen in Bosch BCC100-Thermostaten"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Kleiner Nachtrag von dieser Woche, denn der Sicherheitsanbieter Bitdefender hat mich dar\u00fcber informiert, dass Sicherheitsforscher in seinen Labs Schwachstellen in Bosch BCC100-Thermostaten gefunden haben. Hacker k\u00f6nnen solche intelligenten Thermostate \u00fcber diese Schwachstellen unter ihre Kontrolle bringen und sich einen Zugriff auf Smart-Home-Netzwerke verschaffen. Eine konkrete Angriffsm\u00f6glichkeit, die f\u00fcr Smart-Thermostate des Herstellers Bosch bestand, wird von den Experten der Bitdefender Labs in einer Studie beschrieben.<\/p>\n

<\/p>\n

Bosch BCC100-Thermostate<\/h2>\n

Smarte Thermostate spielen eine wichtige Rolle, um Energieeffizienz und Nachhaltigkeit zu verwirklichen, Stromkosten zu sparen und den Wohnkomfort im Smart Home zu erh\u00f6hen. Die Nachfrage nach Internet-of-Things-L\u00f6sungen hat deshalb einen breiten Markt mit verschiedenen Herstellern und ein gro\u00dfes \u00d6kosystem an Hardware und Technologien entstehen lassen. Daraus ergeben sich auch neue Sicherheitsl\u00fccken.<\/p>\n

Beim Bosch BCC100 (steht f\u00fcr Bosch Connected Control 100) handelt es sich um ein intelligentes und per Wi-Fi erreichbares Raumthermostat. Mit den Bosch Connected Control 100 Wi-Fi-Thermostaten k\u00f6nnen Heizung und Klimaanlage im Haus nach Bedarf und von \u00fcberall aus geregelt werden, wie der Hersteller hier<\/a> schreibt. Ich habe die Thermostate f\u00fcr 150 US-Dollar auf Amazon gesehen – und es gibt eine App zur Kontrolle der Einstellungen.<\/p>\n

Schwachstellen im BCC100<\/h2>\n

Im Rahmen eines fortlaufenden Programms \u00fcberpr\u00fcft Bitdefender weit verbreitete IoT-Hardware auf Schwachstellen und Sicherheitsrisiken. Dazu geh\u00f6rten auch Exemplare des Bosch BCC 100-Thermostats. Die Bitdefender Labs haben dabei Schwachstellen (Sicherheitsl\u00fccke CVE-2023-4972) im weit verbreiteten Bosch BCC100-Thermostat entdeckt.<\/p>\n

Hacker k\u00f6nnen \u00fcber den Wi-Fi-Microcontroller, der als Netzwerk f\u00fcr den logischen Mikcrocontroller agiert, Befehle an das Thermostat schicken und auch b\u00f6sartige Firmware-Updates installieren. Zudem sind Angreifer in der Lage, den Datenverkehr abzufangen, auf andere Ger\u00e4te \u00fcberzuspringen oder andere Aktionen durchzuf\u00fchren.<\/p>\n

Die festgestellten Angriffsm\u00f6glichkeiten betreffen die SW Version 1.7.0 \u2013 HD Version 4.13.22. Bitdefender hat Bosch am 29. August 2023 \u00fcber den Sachverhalt informiert. Der Hersteller hat die Schwachstelle in der Produktion am 11. November 2023 geschlossen. Nutzer sollten dringend \u00fcberpr\u00fcfen, ob auf ihren Thermostaten die aktualisierte Firmware installiert ist.<\/p>\n

Schwachstellen im Thermostat-Netzwerk<\/h3>\n

Das Thermostat verf\u00fcgt \u00fcber zwei Microcontroller, die zusammenarbeiten (siehe Abbildung). Beim gelb umrandeten Controller handelt es sich um einen Hi-Flying Chip HF-LPT230 Microcontroller mit implementierter Wi-Fi-Funktionalit\u00e4t. Dieser Chip agiert als Network Gateway und Proxy f\u00fcr den logischen Microcontroller, den in der Abbildung rot markierten STMicroelectronics Chip STM32F103.<\/p>\n

\"
\nInnenansicht des Bosch BCC 100 Thermostats, Foto: Bitdefender<\/em><\/p>\n

Mit dem UART-Protocol \u00fcbertr\u00e4gt der STM-Chip Daten an den Wi-Fi-Chip, der die tats\u00e4chliche Verbindung zu den Servern aufbaut. Der STM-Chip selbst kann nicht mit dem Netzwerk kommunizieren und \u00fcberl\u00e4sst die Kommunikation mit dem Internet dem Hi-Flying Wi-Fi-Chip.<\/p>\n

Der Wi-Fi-Chip kommuniziert auch \u00fcber dem TCP-Port 8899 im Local Area Network (LAN) und spiegelt jede Nachricht \u00fcber diesen Port direkt an den logischen STM-Microcontroller via UART Data Bus. Bei korrektem Format der Nachrichten kann der WiFi-Microcontroller b\u00f6sartige Nachrichten nicht von den legitimen Datenpaketen des Cloud-Servers unterscheiden. Dadurch k\u00f6nnen auch Angreifer Befehle an das Thermostat senden \u2013 bis hin zum Malware-infizierten Update des Ger\u00e4tes.<\/p>\n

Updating mit fremder Firmware<\/h3>\n

Das Thermostat kommuniziert mit dem connect.boschconnectedcontrol.com<\/em>-Server mit JSON-encodierten Payloads \u00fcber ein Websocket. Der Server versendet die Pakete unmaskiert, so dass Hacker sie leicht nachahmen k\u00f6nnen. \u00dcber den Befehl \u201edevice\/update\" an den Port 8999 erf\u00e4hrt das Ger\u00e4t \u00fcber ein neues Update und initiiert die vermeintlich legitime Firmware-Aktualisierung.<\/p>\n

Das Thermostat fragt den Cloud-Server nach dem Update. Trotz einer Error-Code-Antwort des Servers, wenn kein legitimes Update vorliegt, akzeptieren Ger\u00e4te mit nichtgeschlossener Sicherheitsl\u00fccke eine gef\u00e4lschte Antwort mit den Details zur b\u00f6sartigen neuen Firmware:<\/p>\n

\\x81\\x7e\\x01\\x33{\"error_code\":\"0\",\"cmd\":\"server\/fireware\",\r\n\"device_id\":\"<device mac>\",\"timestamp\":\"<unix timestamp>\",\r\n\"model\":\"BCC101\",\"version\":\"<fw version>\",\"url\":\"<firmware URL>\",\r\n\"size\":\"<firmware size>\",\"isize\":\"0\",\"pic_pos\":\"2930\",\r\n\"md5\":\"<firmware md5>\",\"type\":0,\"release_date\":\"1111-11-11\"}<\/pre>\n
Das \u00fcbertragene Packet liefert die Quelle f\u00fcr den Download der Firmware, dessen Gr\u00f6\u00dfe und eine MD5-Checksumme der Firmware-Datei sowie die neue Version. Die Authentizit\u00e4t eines Firmware Updates wird nicht validiert. Sind alle Bedingungen erf\u00fcllt, fordert das Thermostat den Cloud-Server auf, die Firmware herunterzuladen und \u00fcber ein Websocket zu versenden:<\/p>\n
{\"cmd\":\"server\/deviceUpdate\",\"device_id\":\"<device mac>\",\r\n\"timestamp\":\"<unix timestamp>\",\"url\":\"<firmware URL>\",\"pindex\":\"0\"}<\/pre>\n
Die URL muss \u00fcber das Internet erreichbar sein, denn der Cloud-Sever f\u00fchrt den Download durch. Nach Empfang der Datei durch die Hardware aktualisiert sich das Thermostat. Bei einem b\u00f6sartigen Angriff w\u00e4re das Ger\u00e4t nun vollst\u00e4ndig kompromittiert.<\/p>\n
Schutz von IoT-Hardware<\/h2>\n
IoT im Smart-Home-Netz vergr\u00f6\u00dfert die Angriffsfl\u00e4che f\u00fcr Hacker und\u00a0 daher genauso ein IT-Sicherheitsrisiko wie PC-Systeme, Smartphones, Router oder Smart-TVs. Anwender sollten daher ihre IoT-Hardware gewissenhaft \u00fcberwachen und sie so umfassend wie m\u00f6glich vom lokalen Netzwerk isolieren. Dies erm\u00f6glicht ein dezidiertes Netzwerk allein f\u00fcr IoT-Ger\u00e4te.<\/p>\n
Smart Home Scanner<\/a> k\u00f6nnen Hardware mit Konnektivit\u00e4t scannen, identifizieren und Ger\u00e4te mit Schwachstellen melden. Nutzer von IoT-Hardware sollten immer nach der aktuellen Firmware suchen und vom Hersteller gelieferte Upgrade-Versionen gleich nach Ver\u00f6ffentlichung des Herstellers ver\u00f6ffentlichen.<\/p>\n
Eine gute Option f\u00fcr Smart-Home-Sicherheit ist auch eine Netzwerk-L\u00f6sung f\u00fcr Cybersicherheit<\/a>, die in Router integriert ist. Der vollst\u00e4ndige Report steht unter dieser Adresse<\/a> zum Download zur Verf\u00fcgung. Anwender sollten \u00fcberpr\u00fcfen, ob ihre Thermostate eine aktuelle Bosch-Firmware benutzen.<\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Kleiner Nachtrag von dieser Woche, denn der Sicherheitsanbieter Bitdefender hat mich dar\u00fcber informiert, dass Sicherheitsforscher in seinen Labs Schwachstellen in Bosch BCC100-Thermostaten gefunden haben. Hacker k\u00f6nnen solche intelligenten Thermostate \u00fcber diese Schwachstellen unter ihre Kontrolle bringen und sich einen Zugriff … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[3081,4328],"class_list":["post-290451","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-geraete","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290451","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=290451"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290451\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=290451"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=290451"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=290451"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}