Update gegen Sicherheitsleck in Alpha Innotec- und Novelan-Wärmepumpen
Der Hersteller der Alpha Innotec- und Novelan-Wärmepumpen erläutert, wie Besitzer an Updates zum Schließen der Passwort-Schwachstelle kommen.
Anfang der Woche wurde bekannt, dass die Wärmepumpen der Marken Alpha Innotec und Novelan mit einer Firmware ausgestattet sind, die ein hartkodiertes und leicht zu knackendes Root-Passwort enthalten. Zwar gibt es auf der Webseite des OEM-Herstellers AIT Deutschland aktualisierte Firmware-Dateien. Es war jedoch unklar, ob Besitzerinnen und Besitzer der betroffenen Wärmepumpen diese Firmware-Dateien einfach installieren können, ohne etwa Garantie- und Gewährleistungsansprüche zu verlieren.
Auf Anfrage von heise online hat AIT Deutschland jetzt erklärt, dass die Aktualisierungen für die Nutzer auf den Webseiten der Marken im Software-Center für Alpha Innotec respektive im Software-Center für Novelan zum Download bereitstehen. Eine Videoanleitung zeigt am praktischen Beispiel, wie das Update der Wärmepumpe abläuft. Besitzerinnen und Besitzer können es demnach selbst vornehmen.
Einschätzung der Sicherheitslücke durch AIT Deutschland
AIT Deutschland hat auf unsere Anfrage auch eine Einschätzung der Lücke gegeben: "Auch wenn nur eine geringe zweistellige Anzahl an Wärmepumpen betroffen sind, nehmen wir die Situation ernst. Für die jeweiligen Kunden steht unser Kundenservice zur Verfügung und unterstützt bei gegebenenfalls notwendigen Updates."
Der Hersteller erläutert weiter, dass lediglich Wärmepumpen betroffen seien, "die über einen Router direkt mit dem Internet verbunden sind und zusätzlich der Port 22 für die Wärmepumpe aktiv freigeschaltet oder die Wärmepumpe direkt in die DMZ gestellt wurde (Exposed host)". AIT ergänzt: "Das Firmware-Update ist bereits seit Mitte letzten Jahres verfügbar und schließt die entsprechende Sicherheitslücke".
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Für die direkt im Internet stehenden Wärmepumpen ist die Gefährdung tatsächlich am größten, hier sollten die Nutzer besonders rasch das Update installieren. Zudem sollten sie bedenken, dass ein offener Zugang immer eine potenzielle Gefahr darstellt, die sich etwa durch Nutzung eines VPNs anstatt der öffentlichen Exposition minimieren lässt. Aber auch, wenn die Wärmepumpen mit verwundbarem Firmware-Stand lediglich im LAN erreichbar sind, stellen sie für Einbrecher ins Netzwerk eine Möglichkeit dar, sich dort einzunisten. Auch auf den zunächst exotischer anmutenden CPU-Architekturen läuft Malware für Botnet-Drohnen. Daher sollten alle, die ihre Wärmepumpe im lokalen Netz betreiben, ebenfalls die Aktualisierung vornehmen.
Am Anfang dieser Woche hatte ein IT-Forscher Informationen zu der Schwachstelle mit einem CVE-Eintrag veröffentlicht. Der Entdecker der Lücke konnte eine shadow
-Datei aus dem Firmware-Abbild extrahieren, die das Passwort zwar 3DES-verschlüsselt enthielt. Da das Passwort "eschi" jedoch viel zu kurz ist, ließ es sich in wenigen Sekunden mittels Brute-Force-Angriff knacken. Damit können bösartige Akteure sich als root
an den Wärmepumpen anmelden und somit beliebige Software einschleusen oder Einstellungen verändern.
(dmk)