Kritische Sicherheitslücke ermöglicht Fremdzugriff auf Systemregler des Vaillant ecoPOWER 1.0

Kritische Lücke im Vaillant ecoPOWER 1.0 (Grafik: BHKW-Infothek)Seit dem vergangenen Freitag erhalten Betreiber einer stromerzeugenden Heizung vom Typ ecoPOWER 1.0 ungewöhnliche Post vom Hersteller des Gerätes. Vaillant informiert seine Kunden mit diesem Schreiben, dass „ein unberechtigter Fremdzugriff via Internet auf den Systemregler des ecoPOWER 1.0 möglich ist“ und dass Betreiber einer betroffenen Heizung umgehend „den ecoPOWER 1.0 vom Internet […] trennen [sollen], indem sie den Netzwerkstecker aus dem Systemregler entfernen“. Was Vaillant seinen Kunden in diesem Schreiben nicht mitteilt, ist die Tatsache, dass potentiellen Angreifern ein umfassender Zugriff auf das Gerät einschließlich der Kundendienst- und Entwicklerebene möglich ist und zudem alle an das Internet angeschlossenen Geräte aufgrund eines unbedarft programmierten Adressdienstes leicht auffindbar sind.

Der Hintergrund
Anfang Februar bemerkte unser Leser Dirk Hedderich bei seinem Nano-BHKW vom Typ ecoPOWER 1.0 Anomalien im Datenverkehr des Systemreglers der stromerzeugenden Heizung und informierte die BHKW-Infothek. Bei einer gemeinsamen Analyse zusammen mit dem Betreiber stellte sich schnell heraus, dass das System gefährliche Schwachstellen aufweist, die noch dazu erschreckend einfach auszunutzen sind. Über unseren Fund unterrichtet, reagierte Vaillant umgehend und bildete ein Team zur Erarbeitung einer Lösung, das in stetem Austausch mit der BHKW-Infothek und der Redaktion von heise Security eine Lösung entwickelte, die in Kürze bei allen ecoPOWER-Besitzern installiert werden soll. Indes stufte das beim Bundesamt für Sicherheit in der Informationstechnik angesiedelte Computer Emergency Response Team der Bundesverwaltung die Sicherheitslücke als „grundsätzlich kritisch“ ein.

Der ecoPOWER-Systemregler

Der ecoPOWER-Systemregler

Die Steuerung des ecoPOWER 1.0 verfügt neben einem großen Touch-Display am Gerät über einen LAN-Anschluss, der die Steuerung des Gerätes über ein Webinterface oder eine iPad App ermöglicht. Der Betreiber hat somit nicht nur die Möglichkeit, seine hochmoderne Heizung bequem von der Couch aus steuern zu können, sondern kann auch aus der Ferne die gesamte Heizung oder einzelne Komponenten wie beispielsweise die Warmwasserbereitung ein- und ausschalten sowie Sollwerttemperaturen ändern.

Für den Betreiber ist diese zusätzliche Funktionalität besonders im Urlaub oder bei nur zeitweise genutzten Immobilien ein deutlicher Komfortgewinn und wurde nicht zuletzt wegen des möglichen Fernzugriffs für den Kundendienst zur Fehleranalyse und Entstörung auch von der Fachpresse als großer Fortschritt hin zu smarten Heizungen gewürdigt. Für Betreiber eines ecoPOWER 1.0, die einen Vollwartungsvertrag mit Vaillant abgeschlossen haben, ist die Anbindung der hocheffizienten Heizung an das Internet sogar obligatorisch, da der Fernzugriff auf die Anlage dem Kundendienst oftmals eine aufwändige Analyse vor Ort und die damit verbundene Anfahrt ersparen kann.

Abschaltung von Heizung einschließlich Frostschutz

Abschaltung von Heizung und Frostschutz

Die Lücke im System
Eben dieser Fernzugriff über das Internet lässt nun eine Schwachstelle in der Zugangsbeschränkung des Systemreglers zum ernsthaften Problem erwachsen. Mit Kenntnis der genauen Schwachstelle ist es Dritten möglich, sich gegenüber der Heizung erfolgreich als vermeintlicher Besitzer, Vaillant-Kundendienst oder gar als „Entwickler“ zu authentifizieren und Anlagenparameter zu manipulieren. Noch dazu sind alle Anlagen über einen einfach gestalteten DynDNS-Adressdienst auffindbar.

So ist es beispielsweise möglich, alle an das Internet angebundenen Heizungen vom Typ ecoPOWER 1.0 einschließlich deren Frostschutzfunktion aus der Ferne abzuschalten. Ist ein solches Szenario im Sommer wegen des Ausfalls der Warmwasserbereitung bestenfalls lästig für die Bewohner der durch das ecoPOWER versorgten Immobilie, könnte im Winter bei Temperaturen unter dem Gefrierpunkt beträchtlicher Sachschaden an den betroffenen Gebäuden entstehen, sofern die Hausbesitzer den Ausfall nicht zeitnah bemerken.


Demonstration der Sicherheitslücke und offizielle Stellungnahme des Herstellers

ecoPOWER 1.0 abgelaufenes Zertifikat
Nur teilweise signierter code

Abgelaufenes Zertifikat

Ein erster Eindruck
Dass mit der Software des ecoPOWER-Systemreglers nicht alles in bester Ordnung ist, wurde uns von den Betreibern entsprechender Anlagen bereits früher mehrfach mitgeteilt. So ist auch bei neueren Anlagen bereits ab Werk das Code Signing Zertifikat des Java-Applets für den Webzugriff auf die Heizung abgelaufen. Doch selbst dieses abgelaufene Zertifikat erstreckt sich nur über einen Teil des Programmcodes, was den Betreibern einer solchen Heizung gleich eine zweite Sicherheitswarnung beim Aufruf des Webinterfaces beschert. Sogar nachdem diese Warnungen von den Betreibern bestätigt wurden, hängt sich das Applet gelegentlich in einer Endlosschleife auf.

Nach dem Aufruf der über Port 80 erreichbaren Loginseite der Heizung, präsentiert bereits diese Seite den Namen des Heizungsbesitzers sowie auch den Standort der Anlage. Eine Lösung, die nicht nur aus Datenschutzgesichtspunkten höchst fraglich ist. Obendrein sind alle Anlagen an einen DynDNS-Adressdienst von Vaillant angebunden, der es nur mittels Durchprobieren eines bestimmten Ziffernbereiches ermöglicht, alle Anlagen sowie deren Eigentümer aufzuspüren – ganz ohne Ausnutzung der eigentlichen Sicherheitslücke des ecoPOWER-Systemreglers.

Der Weg an die Daten
Die eigentliche Sicherheitslücke lässt sich über zwei unterschiedliche Angriffsvektoren ausnutzen. Der einfachste Weg führt mit einem ganz gewöhnlichen Internetbrowser auf eine spezielle URL. Mit Kenntnis dieser URL können aus dem Speicher des Systemreglers das Kundenpasswort, das Kundendienstpasswort, vormals vom Kunden verwendete Passwörter, das Entwicklerpasswort, der Name des Heizungsbesitzers sowie der Standort der Anlage ausgelesen und direkt im Browser angezeigt werden.

Auch über den Aufruf einer bestimmten URL lassen sich die Daten aus den Anlagen auslesen

Bereits über den Aufruf einer URL lassen sich Daten und Passwörter aus den Anlagen auslesen

Der zweite Weg ist verglichen mit dem einfachen Aufruf einer bestimmten URL aufwändiger und setzt ein Mindestmaß an IT-Fachwissen voraus. Um möglicherweise noch an das Internet angebundene Geräte nicht zu gefährden, verzichten wir an dieser Stelle auf eine ausführliche Darstellung beider Wege. Mit den nun bekannten Passwörtern ist anschließend der Login über das Webinterface des Gerätes möglich, wobei der Login für bestimmte Prozeduren in den höheren Benutzerleveln auf einer eigenen Loginseite erfolgt.

Angreifer in der Kundendienstebene

Die Kundendienstebene

Als Angreifer in der Kundendienstebene
Nach der Einwahl als Kundendienstmitarbeiter sind unter anderem spezielle Hydraulikübersichten zugänglich. Interessanter sind allerdings eigentlich dem Kundendienst vorbehaltene Prozeduren und Parameteränderungen, auf die der Kunde für gewöhnlich nicht zugreifen kann. So ist es beispielsweise in der Kundendienstrolle „Experte“ möglich, die Gas- und Stromnetzparameter zu ändern, was zu illegalen Betriebszuständen führen kann. Allerdings können diese unmittelbar sicherheitsrelevanten Parameter glücklicherweise nicht ohne Weiteres aus der Ferne über das Internet manipuliert werden, da hierzu eine Quittierung über einen Schalter am Gerät erforderlich ist.

Natürlich lassen sich jedoch aus der Ferne auch ohne eine zusätzliche Quittierung am Gerät neben dem Ein- und Ausschalten der Heizung ganz normale Betriebsparameter wie Sollwerttemperaturen manipulieren. Es ist daher auch denkbar, dass ein Angreifer das hocheffiziente KWK-Modul abschaltet, ohne das dies dem Hausbesitzer direkt auffallen würde, da die Spitzenlasttherme die Wärmeversorgung vollständig übernehmen kann. Die Folge wären höhere Strombezugskosten sowie entgangene Vergütungen für die Produktion und Einspeisung von Strom aus dem KWK-Modul.

Ein anderes vorstellbares Szenario ist die Anhebung der Vorlauftemperaturen auf ein Temperaturniveau von bis zu 80 °C, was bei bestimmten Flächenheizungen zu Schäden an der Bausubstanz führen kann, sofern im betreffenden Objekt kein zusätzlicher Temperaturbegrenzer zur Absicherung potentiell gefährdeter Heizkreise installiert wurde.

Die Tiefen der Entwicklerebene

Ein Entwicklermenü

Auch die Optionen in der Entwicklerebene stehen offen
In der Rolle „Entwickler“ ist es zudem möglich, dem Kraft-Wärme-Kopplungsmodul über den CAN-Bus bestimmte Befehle zu erteilen, die der Hersteller eigentlich selbst dem eigenen Kundendienst nicht zugänglich machen wollte. In diesem Entwicklermenü ist jedoch keine Absicherung über den aus der Kundendienstebene bereits bekannten physischen Quittierungsschalter am Gerät sichtbar. Ob eine nur am Gerät zu bestätigende Sicherheitsabfrage möglicherweise erst nach Betätigung der Trigger verlangt wird, haben wir bei den uns von einigen Betreibern zugänglich gemachten Heizungen nicht auszutesten gewagt.

Reaktion und Lösung des Herstellers
Nachdem wir Vaillant Anfang Februar über die Lücke unterrichteten, reagierte das Unternehmen ohne zu zögern und sehr engagiert. Vaillant bildete sofort ein Team zur Analyse des Problems sowie der Erarbeitung einer Lösung und war während dieses Prozesses stets offen für Anregungen des Bundesamtes für Sicherheit in der Informationstechnik, den Redaktionen von heise Security und der BHKW-Infothek sowie von Feldtestkunden. Bereits nur wenige Wochen später präsentierte Vaillant uns auf der Internationalen Sanitär- und Heizungsmesse in Frankfurt Anfang März eine 3-stufige Lösung, deren Umsetzung mit dem heutigen Schreiben an alle Betreiber eines ecoPOWER 1.0 beginnt und anschließend eine verbesserte Software sowie zusätzliche Hardware umfasst.

Jetzt, nachdem alle Betreiber des ecoPOWER 1.0 aufgefordert wurden ihre Heizung vom Internet zu trennen, wird Vaillant umgehend den zweiten Schritt umsetzen und bei allen Kunden vor Ort eine verbesserte Softwareversion installieren. Neben der Beseitigung der eigentlichen Sicherheitslücke soll dieses Update auch die bekannten Probleme mit den beiden Zertifikatfehlern und der Endlosschleife beim Aufruf des Webinterfaces beheben. Diesen Service zur Wiederherstellung der Funktionalität des Systemreglers verspricht Vaillant selbstverständlich auch Kunden ohne Vollwartungsvertrag kostenlos zu erbringen.

Darüber hinaus plant Vaillant bei allen Kunden, deren Heizung aufgrund eines Vollwartungsvertrages an das Internet angebunden sein muss, kurzfristig zusätzliche Hardware für eine verschlüsselte VPN-Anbindung zu installieren. Anders als bisher kann dann nicht mehr direkt auf die Anlage zugegriffen werden. Alle Zugriffe erfolgen verschlüsselt über die VPN-Box und in naher Zukunft auch über ein gesichertes Web-Portal auf einem Server von Vaillant. Die dazu erforderliche zusätzliche Hardware wird Vaillant Kunden mit einem Wartungsvertrag kostenfrei installieren, wobei der Abschluss eines solchen Wartungsvertrages auch rückwirkend erfolgen kann, sofern die Inbetriebnahme der Anlage vor weniger als 12 Monaten erfolgt ist.

Innenansicht des ecoPOWER 1.0 Systemreglers

Innenansicht des ecoPOWER 1.0 Systemreglers

Kunden ohne einen Vollwartungsvertrag sollen die neue VPN-Lösung zu einem noch nicht bekannten Preis auch ohne Abschluss eines Wartungsvertrages beziehen können. Die eigentliche Sicherheitslücke wird Vaillant selbstverständlich auch bei Kunden ohne Vollwartungsvertrag kostenfrei vor Ort mit einem Update des Systemreglers beheben. Nur die zusätzliche Sicherheit durch die Nachrüstung eines VPN-Moduls ist für Kunden ohne Wartungsvertrag kostenpflichtig, sofern der Kunde diese zusätzliche Funktion nachrüsten lassen möchte.

Zur Information seiner Kunden hat Vaillant unter der Rufnummer 0800 9999 3000 eine kostenfreie Hotline eingerichtet, die ab sofort montags bis freitags von 8 bis 18 Uhr erreichbar sein wird.

Ein Blick über den Tellerrand
Am aktuellen Fall des ecoPOWER 1.0 zeigt sich die Spitze eines Eisberges. Die Verwendung von immer gleichen Standardpasswörtern für den Kundendienstzugriff ist in der Haustechnikbranche leider derzeit noch üblich. Entsprechende Passwörter für verschiedene Heizungstypen sind im Internet einfach zu finden und nur die dazugehörigen Anlagen müssen Angreifer – im Gegensatz zum hier gezeigten Fall – noch selbst aufspüren.

Es bleibt zu hoffen, dass sich die Branche an dem Engagement von Vaillant zur Absicherung der Anlagen sowie auch an der gewählten sicheren Lösung mittels einer verschlüsselten Datenübertragung ein Beispiel nimmt und zukünftig mehr auf Sicherheit achtet, damit der Komfort von smarter Haustechnik für die Anwender nicht zum Bumerang wird. Zumindest die Abkehr von Standardpasswörtern für den Kundendienstzugriff aus der Ferne wäre für die Branche ein erster Schritt, der zudem ohne großen Aufwand zu realisieren ist.

Neuere Beiträge zum Thema:
-> Gefahr im Kraftwerk: Auch große BHKW sind betroffen!
-> Parlamentarische Anfrage zur Sicherheit von BHKW-Steuerungen und Neues zum Sicherheitsupdate für das ecoPOWER 1.0
-> Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken

Interessante Rezeptionen
heise.de | Vaillant-Heizungen mit Sicherheits-Leck
01net.com | Domotique: une faille critique dans… des chaudières à gaz
spiegel.de | Fernwartung: Sicherheitslücke bedroht Hightech-Heizungen
m2m-blog.de | Reifegrade von M2M-Anwendungen: Eine Klassifikation
tweakers.net | Cv-ketels van Vaillant bevatten ernstige kwetsbaarheid in webinterface
h-online.com | Security hole can damage heating systems
einhausbau.de | Sicherheit Anno 1679

Nachrichten: Weitere Meldungen zu den stromerzeugenden Heizungen von Vaillant
(Bilder und Video: BHKW-Infothek)

Ein Artikel von Louis-F. Stahl

 

26 Responses to Kritische Sicherheitslücke ermöglicht Fremdzugriff auf Systemregler des Vaillant ecoPOWER 1.0

  1. Pingback: Gefahr im Kraftwerk: Auch BHKW sind betroffen! | BHKW-Infothek

  2. Pingback: Parlamentarische Anfrage zur Sicherheit von BHKW-Steuerungen und Neues zum Sicherheitsupdate für das ecoPOWER 1.0 | BHKW-Infothek

  3. Pingback: Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken | BHKW-Infothek

  4. Pingback: Liebe Heizungsbastler und Messtechnikfreaks… | punktwissen

  5. Pingback: IKZ-Haustechnik: Mit Heizungen und BHKW sicher ins Internet | BHKW-Infothek

  6. Pingback: Ankündigung: Artikel im Entwickler Magazin Spezial "Internet of Things" - Dipl.-Inform. Carsten Eilers

  7. Pingback: Drucksache: Entwickler Magazin 4.2014 - Risiken und Gefahrenpotenziale in der Heimautomation - Dipl.-Inform. Carsten Eilers

  8. Pingback: In eigener Sache: 10 Jahre BHKW-Diskussionsforum | BHKW-Infothek

  9. Pingback: Drucksache: windows.developer Magazin 2.2015 - Angriffsziel Internet of Things - Dipl.-Inform. Carsten Eilers

  10. Pingback: ISH15: Vaillant bietet wieder BHKW-Vollwartungsverträge | BHKW-Infothek

  11. Pingback: Angriffsziel Internet of Things - entwickler.de

  12. Pingback: Erneute Gefahr im Kraftwerk für Besitzer eines ecoPower 1.0 | BHKW-Infothek

  13. Pingback: Produktabkündigung: Vaillant beerdigt das ecoPower 1.0 | BHKW-Infothek

  14. Pingback: Ist das Smarthome sicher? - Kabellabor

  15. Pingback: Wie einzigartig ist die digitale Welt? – saschalobo.com

  16. Pingback: EcoPower ohne Zukunft: Vaillant beendet BHKW-Produktion | BHKW-Infothek

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert