Balkonkraftwerk: Deye-Wechselrichter erhalten Update gegen Lücke automatisch
Die Mikro-Wechselrichter des Herstellers Deye, die in zahlreichen Balkonkraftwerken und in Deutschland auch beim Mini-PV-Angebot des Discounters Netto in Form des Wechselrichters SUN600G3-EU-230 mit 2 MPP-Trackern eingesetzt werden, weisen eine Sicherheitslücke auf, die bislang nur manuell per Update geschlossen werden konnte.
Zugang über Access-Point lässt sich nicht abschalten
Nun hat Deye jedoch angekündigt, das Firmware-Update automatisch auf allen Wechselrichtern einzuspielen, die mindestens 30 Minuten mit dem Internet verbunden sind. Die Sicherheitslücke in dem WLAN-Logger des Wechselrichters, der sich mit Servern von Solarman verbindet, um die Stromproduktion zu protokollieren, verhindert, dass Nutzer den eingebauten WLAN-Access-Point abschalten und den Standardschlüssel 12345678 ändern können. Zwar lässt sich in den Firmware-Versionen MW3_15U_5406_1.47 und MW3_15U_5406_1.471 der Schlüssel ändern, dauerhaft gespeichert wurde er jedoch nicht. Erst die Firmware MW3_16U_5406_1.53 schafft hier Abhilfe.
Update nicht mehr nur bei Support-Anfrage
Obwohl die Sicherheitslücke bereits seit Januar 2023 bekannt ist, erfolgte bislang keine automatische Auslieferung an mit dem Internet verbundene Wechselrichter, sondern Nutzer mussten das Firmware-Update per E-Mail bei Deye anfordern – eine Antwort dauerte dann mitunter 14 Tage. Seit einigen Tagen soll das Update nun jedoch automatisch aufgespielt werden. Es empfiehlt sich deshalb, den Wechselrichter, wenn er bislang nicht mit dem Internet verbunden ist, über ein Gast-WLAN zumindest zeitweise mit dem Internet zu verbinden und abzuwarten, bis das Firmware-Update automatisch eingespielt wurde. Welche Firmware-Version der Deye-Wechselrichter derzeit nutzt, kann in der Weboberfläche des Geräts oder die Solarman-Plattform im Browser eingesehen werden.
Update auch bei Offline-Betrieb nötig
Alle Besitzer eines Deye-Wechselrichters sollten das Update einspielen, auch wenn das Gerät nicht dauerhaft mit dem Internet verbunden ist, da sich andere Personen in der Nähe jederzeit über den Access-Point einloggen und so gegebenenfalls auch an die Zugangsdaten des WLANs des Nutzers gelangen können. Inzwischen hat die Sicherheitslücke in den Deye-Wechselrichtern die CVE-Nummer CVE-2023-0808 erhalten.
Auch die in Deutschland unter den Marken Bosswerk und Revolt verkauften Wechselrichter von Deye sind betroffen.