Balkonkraftwerk: Automatisches Update für Deye-Wechselrichter mit WLAN-Lücke
Mikrowechselrichter von Deye wurden mit Sicherheitslücke ausgeliefert, das Update gab es nur auf Anfrage. Jetzt spielt es der Hersteller automatisch ein.
Mikrowechselrichter des chinesischen Herstellers Deye wurden mit einer Sicherheitslücke ausgeliefert, die in der WLAN-Auswertungseinheit steckte. Durch den Fehler ist es unmöglich, den eingebauten Access-Point abzuschalten oder den Standardschlüssel 12345678 zu ändern. Betroffen sind Geräte, die in Deutschland unter anderem unter den Namen Deye, Bosswerk und Revolt verkauft wurden und auch von Discounter Netto vertrieben werden.
Der Fehler steckt in der Firmware des eingebauten WLAN-Loggers, der sich über das Internet mit den Servern des Anbieters Solarman verbindet, der die Erzeugungsdaten speichert und visualisiert. In den Firmware-Versionen MW3_15U_5406_1.47 und MW3_15U_5406_1.471 kann man die Zugangsdaten zwar in der Weboberfläche ändern, dauerhaft speichern kann man die Änderungen jedoch nicht. Behoben wird das Problem mit der Firmware MW3_16U_5406_1.53.
CVE und Reaktion von Deye
Bisher kamen Nutzer an diese Firmware nur, indem sie eine englischsprachige E-Mail an den Support des Herstellers schickten und sich zwischen 12 Stunden und 14 Tagen geduldeten, wie wir am 3. Februar berichteten. Seit diesem Bericht gerieten mehrere Dinge in Bewegung: Am 7. Februar erhielten wir vom Deye-Support die Bestätigung, dass die neue Firmware auf unserer Testanlage eingespielt wurde – wir konnten bestätigen, dass der Fehler beseitigt wurde (um das Update hatten wir am 16. Januar per Mail gebeten). Außerdem meldeten sich die Betreiber der CVE-Datenbank VulDB. Seit dem 13. Februar hat das Deye-Sicherheitsproblem die CVE-Nummer CVE-2023-0808.
Hersteller Deye reagierte am 8. Februar mit einer Pressemitteilung: Künftig soll es die reparierte Firmwareversion (1.53) nicht mehr nur auf Anfrage per Mail geben. Alle Wechselrichter, die für 30 Minuten mit dem Internet verbunden sind, sollen das Update automatisch erhalten. Wer seinen Deye-Wechselrichter bisher nicht mit dem Internet verbunden hat, kann ihn für das Update temporär in ein Gastnetz bringen.
Nichts tun ist keine Lösung
Selbst wer nicht beabsichtigt, den Wechselrichter dauerhaft mit dem Internet oder dem heimischen WLAN zu verbinden, muss aktiv werden. Denn mit der alten Firmware ist es nicht möglich, den WLAN-Access-Point dauerhaft zu deaktivieren. Die Firmware-Version des Loggers im eigenen Wechselrichter erfährt man entweder über die lokale Weboberfläche oder, sofern eingerichtet, über die Solarman-Plattform im Browser.
(jam)
