Alpha Innotec & Novelan: In Firmware hinterlegtes Passwort gefährdet Wärmepumpen
Wer eine Wärmepumpe des Herstellers Ait Deutschland sein Eigen nennt, sollte eine Aktualisierung der Controller-Firmware in Erwägung ziehen. Ein GitHub-Nutzer hat darin eine Schwachstelle entdeckt – das Root-Passwort bestimmter Steuerungssysteme wurde offenbar im Code hinterlegt. Angreifer können damit viel kaputt machen.
Root-Zugriff per SSH möglich
Aufgedeckt wurde das Problem von dem GitHub-Nutzer Jaarden. Wie dieser in einer Beschreibung der als CVE-2024-22894 registrierten Schwachstelle erklärt, ist das in der Firmware hinterlegte Root-Passwort zwar mit dem Triple-DES-Algorithmus (3DES) verschlüsselt. Dennoch ist es ihm gelungen, diese Verschlüsselung zu knacken und dadurch Zugriff auf das Klartextpasswort zu erhalten. Möglich sei dies innerhalb von fünf Sekunden, warnt Jaarden, als Ergebnis erhielt er die Zeichenfolge „eschi“. Gängige Mindestanforderungen an die Komplexität und Länge sicherer Passwörter, wie sie beispielsweise das BSI vorschlägt, wurden dabei offenkundig gänzlich außer Acht gelassen.
Die Folgen dieser Entdeckung sind potenziell gravierend. Jaarden warnt, mit dem Passwort lasse sich ein „großer Schaden anrichten“. So seien betroffene Wärmepumpensysteme etwa anfällig für Fehlfunktionen oder gar vollständige Ausfälle. Ein Angreifer könne solche Szenarien beispielsweise durch manipulative Eingriffe in Einstellungen sowie durch das Löschen von Konfigurationsdateien oder Software entstehen lassen.
Der Zugriff auf die anfälligen Wärmepumpensysteme gelinge dabei über eine bestehende Netzwerkverbindung. Angreifer können sich per SSH als Root-Nutzer verbinden. In der Regel sollte das nur innerhalb des jeweiligen Heimnetzes möglich sein, sofern die Wärmepumpe per LAN-Kabel damit verbunden ist. Jaarden fand bei einem Scan aber auch einige Wärmepumpensysteme, die sogar online per SSH erreichbar und direkt aus der Ferne angreifbar waren. Mit 47 Systemen war die Angriffsfläche jedoch, zumindest über das Internet, überschaubar.
Am Patch wurde augenscheinlich mehrere Monate gearbeitet
Die anfälligen Steuerungssysteme stammen laut Jaarden von dem Hersteller Luxtronic, zum Einsatz kämen diese in Wärmepumpen der Marken Alpha Innotec und Novelan von Ait Deutschland. Von letzterem Unternehmen sei die Schwachstelle bestätigt und mit den Firmware-Versionen V2.88.3, V3.89.0 und V4.81.3 gepatcht worden. Das verschlüsselte Root-Passwort dürfte demnach in diesen Versionen nicht mehr enthalten sein, in allen vorherigen hingegen schon. Besitzer einer Alpha-Innotec- oder Novelan-Wärmepumpe sollten die Firmware der Steuerung entsprechend aktualisieren, um sich vor möglichen Angriffen zu schützen.
Unklar blieb bisher noch, warum die Entwicklung des Patches mehrere Monate gedauert hat. Jaarden gibt in seiner auf GitHub geteilten Timeline an, seine Entdeckung schon am 13. Juni 2023 an Ait Deutschland übermittelt zu haben. Das Unternehmen hat ihn danach offenbar zu einem Meeting eingeladen, um Details zu besprechen. Im Anschluss hat der Hersteller wohl von Anfang Juli bis Anfang Dezember 2023, also fünf Monate lang, an einem Fix gearbeitet. Warum es so lange gedauert hat, ein Passwort aus dem Code der Firmware zu entfernen, war zunächst fraglich. ComputerBase hat bei Ait Deutschland nachgefragt, was der Grund für diese Verzögerung war. Eine Stellungnahme des Unternehmens ist am Ende dieses Artikels zu finden.
Die Ait Deutschland GmbH gehört nach eigenen Angaben zur NIBE Group, ist in mehreren Ländern vertreten und beschäftigt mehr als 1.200 Mitarbeiter. Das Unternehmen wurde im Jahr 1998 gegründet und entwickelt sowohl Heiz- als auch Kühllösungen.
Ait Deutschland hat inzwischen auf die Rückfrage der Redaktion geantwortet. In dem Statement heißt es, das Unternehmen stehe „bereits seit längerem mit dem Sicherheitsforscher, der diese Sicherheitslücke entdeckt hat, in Kontakt“. Gepatcht worden sei die Schwachstelle schon Mitte letzten Jahres. Die grobe Zeitangabe von Jaarden könnte folglich daher rühren, dass er womöglich gar keine Information darüber hatte, wann genau die gepatchten Firmware-Versionen veröffentlicht wurden, sodass er den Zeitraum nur sehr grob eingrenzen konnte.