Hartkodiertes Passwort: Wärmepumpen von Alpha Innotec und Novelan angreifbar
Ein IT-Forscher hat in der Firmware von Alpha Innotec- und Novelan-Wärmepumpen das hartkodierte Root-Passwort gefunden. Updates bieten Abhilfe.
Wer seine Wärmepumpe von Alpha Innotec oder Novelan mit Luxtronic-Controller ans Netz gestöpselt hat und plötzlich tropische Verhältnisse oder eine nicht mehr funktionierende Wärmepumpe in der Hütte vorfindet, könnte Opfer eines Angriffs geworden sein: Das Root-Passwort ist in der Firmware fest kodiert und zudem nur schwach geschützt. Bösartige Akteure können sich dadurch als root
anmelden und mit diesen Rechten sogar eigenen Code ausfĂĽhren.
Die Schwachstelle beschreibt der Entdecker mit dem Handle Jaarden auf Github. In der Firmware-Datei hat er eine shadow-Datei mit einem 3DES-verschlĂĽsselten Passwort gefunden. Dieses zu entschlĂĽsseln, gelang den Angaben nach in fĂĽnf Sekunden und offenbarte das Klartext-Root-Passwort eschi
. Da auf der Wärmepumpe ein SSH-Dienst läuft, konnte der IT-Forscher sich damit anmelden. Die Kernel-Informationen zeigen dann an, dass der Linux-Kernel 2.6.33.20 für die ARMv5-Prozessorarchitektur kompiliert wurde.
Alpha Innotec korrigiert sicherheitsrelevanten Fehler
Nach der Kontaktaufnahme habe AIT, der OEM-Hersteller hinter Alpha Innotec und Novelan, sich für ein Treffen zum Vorführen der Lücke Mitte vergangenen Jahres interessiert. Bis Anfang Dezember habe der Hersteller dann an fehlerkorrigierter Firmware für die betroffenen Geräte gearbeitet. Am 31. Januar haben AIT und Jaarden die Schwachstelle koordiniert publik gemacht, sie hat den CVE-Eintrag CVE-2024-22894 erhalten. Ein CVSS-Wert und eine standardisierte Risikoeinschätzung liegen dafür bislang nicht vor.
Die Luxtronic-Controller der Alpha Innotec- und Novelan-Wärmepumpen sind mit dem Firmware-Stand 2.88.3, 3.89.0 sowie 4.81.3 oder höher nicht mehr verwundbar. Wer seine Wärmepumpe von diesen Marken mit dem Netzwerk verbunden hat, sollte die aktualisierte Firmware vom Hersteller herunterladen und installieren – das geschieht jedoch auf eigene Gefahr. Gegebenenfalls hilft der Support der Firmen beim konkreten Update unter Beibehaltung der Gewährleistung.
Jaarden schreibt, dass er mit der Suchmaschine Shodan 47 Wärmepumpen offen im Netz mit zu den verwundbaren Versionen passenden SSH-Stand und -Fingerabdruck aufgespürt hat. Einige stellen offenbar ihre Wärmepumpe ohne weiteren Schutz ins Netz. Der Zugriff sollte zumindest auf ein VPN beschränkt werden, wie es etwa die Fritzboxen mit WireGuard anbieten.
(dmk)