FEHLER!

Sicherheitslücke in ESPHome-Plattform ermöglicht unbefugten Zugriff auf IoT-Geräte

Die kürzlich entdeckte Sicherheitslücke innerhalb der ESP-IDF-Plattform, die Grundlage der ESPHome-Firmware, ermöglicht Angreifern die Umgehung der Authentifizierung und somit einen unbefugten Zugriff auf sensible Funktionen. Dieses Problem betrifft Systeme, in denen Mikrocontroller über ESPHome in Heimautomatisierungssysteme integriert sind, wie beispielsweise Controllerboards mit ESP32-Mikroprozessoren, die mit individuellen Firmwares zum Betrieb spezifischer Funktionen programmiert werden.

ESPHome vereinfacht die Entwicklung solcher Firmware durch Features wie Over-the-Air-Updates (OTA), die ohne zusätzliche Programmieraufwände zur Verfügung stehen. Eine Sicherheitsanalyse vom vergangenen Montag brachte die Schwachstelle in den Fokus, die sich in der web_server-Authentifizierungsprüfung der ESP-IDF-Plattform befindet. Diese Prüfung funktioniert fehlerhaft, wenn der clientseitig übertragene Base64-kodierte Autorisierungswert leer oder nur teilweise korrekt ist. Dies ermöglicht Angreifern, ohne korrekte Benutzernamen oder Passwörter Zugriff auf die web_server-Funktionen zu erlangen, einschließlich des OTA-Updates, falls aktiviert. Die Schwachstelle mit der Bezeichnung CVE-2025-57808 (noch kein EUVD, CVSS 8.1, Risiko hoch) wurde dem Schwachstellenbericht zufolge erstmals mit ESPHome 2025.8.0 eingeführt, wobei der Melder das Problem auch in Version 2025.7.5 vermutet. Detailliertere Einblicke in die Funktionsweise des Problems liefert ein Beitrag auf GitHub vom Melder.

Eine sichere Lösung bietet ESPHome 2025.8.0 oder höher. Da Unsicherheiten hinsichtlich der betroffenen Versionen bestehen, sollten auch ältere ESPHome-Versionen vor 2025.8.0 auf die neueste Firmware aktualisiert werden. Diese Aktualisierung ist besonders relevant für Nutzer, die ESPHome-basierte Firmwares in ihren IoT-Geräten einsetzen, um unbefugten Zugriffen und potenziellen Sicherheitsrisiken vorzubeugen. Im Kontext früherer Ereignisse, etwa Mitte letzten Jahres, als Updates von Home Assistant mit älteren ESPHome-Projekten nur zu Fehlermeldungen führten, weil der Parameter platform für OTA-Aktualisierungen in älteren Projekten fehlte, unterstreicht die Notwendigkeit regelmäßiger Updates und Anpassungen an Firmware und Systeme zur Gewährleistung eines reibungslosen Betriebs und der Sicherheit.

Schlagwörter: ESPHome 2025.8.0 + OTA + CVE-2025-57808

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 2. September 2025