Besitzer von Wärmepumpen der Marken Alpha Innotec und Novelan sollten aufhorchen: Bei einer Verbindung der Wärmepumpe mit einem Luxtronic-Controller über das Netzwerk kann es zu Problemen kommen. Ein Angriff auf das System könnte extreme Hitze oder eine nicht funktionierende Wärmepumpe im Haus zur Folge haben.
Der Grund dafür liegt in einer Sicherheitslücke in der Firmware der Wärmepumpen. Das Root-Passwort ist dort fest verankert und äußerst schwach gesichert. Dadurch haben Angreifer die Möglichkeit, sich als “coderoot” einzuloggen und mit umfangreichen Zugriffsrechten sogar eigenen Code auszuführen. Der Entdecker der Schwachstelle, der sich den Benutzernamen “Jaarden” gegeben hat, hat die Details zu der Lücke auf Github veröffentlicht. In der Firmware-Datei wurde eine “shadow”-Datei mit einem mit 3DES verschlüsselten Passwort entdeckt. Nach eigenen Angaben konnte Jaarden dieses Passwort innerhalb von fünf Sekunden entschlüsseln und das Klartext-Root-Passwort “codeeschi” enthüllen.
Da auf den Wärmepumpen ein SSH-Dienst aktiv ist, konnte sich Jaarden erfolgreich auf dem System anmelden. Anhand der Kernel-Informationen konnte er feststellen, dass der Linux-Kernel 2.6.33.20 speziell für die ARMv5-Prozessorarchitektur kompiliert wurde. Nachdem der OEM-Hersteller AIT, der Alpha Innotec und Novelan unterstützt, kontaktiert wurde, zeigte dieser Interesse an einem Treffen, um die Schwachstelle Mitte des letzten Jahres zu demonstrieren. Der Hersteller arbeitete daraufhin bis Anfang Dezember an einer aktualisierten Firmware, um die Fehler in den betroffenen Geräten zu beheben.
Am 31. Januar wurde die Schwachstelle von AIT und Jaarden in einer koordinierten Aktion öffentlich gemacht und erhielt den CVE-Eintrag CVE-2024-22894. Bisher gibt es jedoch noch keinen CVSS-Wert oder eine standardisierte Risikoeinschätzung für diese Schwachstelle.
Die gute Nachricht: Die Luxtronic-Controller der Alpha Innotec- und Novelan-Wärmepumpen sind ab dem Firmware-Stand 2.88.3, 3.89.0 sowie 4.81.3 oder höher nicht mehr anfällig für den Angriff. Besitzer einer betroffenen Wärmepumpe sollten daher dringend die aktualisierte Firmware vom Hersteller herunterladen und installieren. Es ist jedoch zu beachten, dass dies auf eigene Verantwortung geschieht. Unter Umständen kann der Kundenservice der Unternehmen bei der konkreten Aktualisierung unter Berücksichtigung der Gewährleistung unterstützen.
Jaarden berichtet, dass er mithilfe der Suchmaschine Shodan 47 Wärmepumpen im Netzwerk gefunden hat, die zu den anfälligen Versionen passende SSH-Stände und Fingerabdrücke aufweisen. Es scheint also, dass einige Personen ihre Wärmepumpe ohne zusätzlichen Schutz direkt mit dem Netzwerk verbinden. Um dies zu verhindern, empfiehlt es sich, den Zugriff zumindest auf ein VPN zu beschränken. Eine Möglichkeit dafür bietet beispielsweise die Fritzbox mit WireGuard.
Schlagwörter: Alpha Innotec + Novelan + Jaarden
Wie bewerten Sie den Schreibstil des Artikels?