Home- und Raspberry-Matic: Kritische Lücke erlaubt Codeschmuggel
In HomeMatic sowie in RaspberryMatic klafft eine Codeschmuggel-Lücke. Sie gilt als kritisch. Ein Update steht bereit.
(Bild: Andrey Suslov / shutterstock.com)
Angreifer aus dem Netz können ohne vorherige Authentifizierung eine Sicherheitslücke im Hausautomationsserver HomeMativ und in RaspberryMatic missbrauchen, um Schadcode einzuschleusen und auszuführen. Eine aktualisierte Version der Smart-Home-Software von vergangener Woche stopft das Sicherheitsleck.
Gleich mehrere Probleme gebe es mit der Java-basierten HMIPServer.jar-Komponente, schreibt der Entwickler in der Sicherheitsmitteilung (CVE-2024-24578, CVSS 10.0, Risiko "kritisch"). Der HMIPServer lässt sich durch URLs zugreifen, die mit /pages/jpages anfangen. Die Klasse FirmwareController nimmt jedoch keine Session-ID-Prüfung vor, dadurch sind Zugriffe ohne gültige Session möglich. Zwar lese der Code den sid-Wert, nutze ihn aber nicht weiter.
RaspberryMatic: Mehrere Probleme führen zu kritischer Lücke
Die URL /pages/jpages/system/DeviceFirmware/addFirmware lässt sich dadurch ohne weitere Prüfungen erreichen, von allen im Netz. Nicht authentifizierte Angreifer können dort bösartige .tgz-Archive hochladen, die der Server einfach entpackt. Dazu gesellt sich aufgrund unzureichender Filterung etwa von ../-Bestandteilen im Pfad eine Path-Traversal-Lücke, die das Ausbrechen aus dem vordefinierten temporären Verzeichnis ermöglicht. In der Folge lassen sich beliebige Dateien im Dateisystem überschreiben. Der Autor nennt als Beispiel etwa die Möglichkeit, das watchdog-Skript zu überschreiben, das durch cron alle fünf Minuten aufgerufen wird – mit root-Rechten.
Die Lücken finden sich in RaspberryMatic bis einschließlich 3.73.9.20240130. Die Version 3.75.6.20240316 oder neuere korrigieren die sicherheitsrelevanten Fehler. Wer RaspberryMatic für seine Hausautomatisierung nutzt, sollte daher umgehend die aktualisierte Fassung herunterladen und installieren. Das sollte auch dann zügig geschehen, wenn der RaspberryMatic-Server nicht extern erreichbar ist, da die Schwachstellen Angreifern das Einnisten im lokalen Netzwerk ermöglicht, auch wenn sie auf anderen Wegen einbrechen.
Die aktualisierten Images stehen auf der RaspberryMatic-Release-Seite zum Herunterladen bereit. Vor ziemlich genau zwei Jahren fiel RaspberryMatic schon einmal durch eine kritische Sicherheitslücke auf. Auch dort konnten bösartige Akteure die Kontrolle über ein verwundbares Gerät übernehmen.
Der Fehler geht auf eine Sicherheitslücke in der Homematic-Firmware CCU3 zurück. Deren Changelog listet den Punkt als "Schwachstellen u.a. im Zusammenhang mit dem Upload von Gerätefirmware wurden geschlossen (CVE-2024-24578)" auf. Der CVE-Eintrag verweist zurzeit lediglich auf RaspberryMatic. HomeMatic-Nutzerinnen und Nutzer sollten jedoch ebenfalls sicherstellen, ihre Geräte zu aktualisieren. Wir haben den Text entsprechend um Hinweise auf HomeMatic ergänzt.
(dmk)