RedMatic als Homematic AddOn kann für Remote Code Execution missbraucht werden

RedMatic baut auf Node-RED auf und ist eine Erweiterung für Homematic CCUs.
Wenn der Node-RED Zugang ungeschützt ist, weil die Authentifizierung abgeschaltet wurde, kann ein Angreifer dadurch sofort eine Remote Code Execution auf dem System durchführen, ganz einfach über Port 80.
Node-RED liefert ja extra dokumentierte Möglichkeiten lokal Befehle ausführen zu können um Steuerungssequenzen umzusetzen. Wenn nun der Zugang mit den Login Mitteln der CCU gesichert ist, kennen wir zumindest den Usernamen “Admin” und nur das Passwort muss per Bruteforce gefunden werden. Ein starkes/sicheres Passwort ist wie immer also sehr wichtig.
Ist der Zugang Individuell gesichert mit einer eigenen Username/Passwort Kombination, wird es schon schwieriger sein, die Zugangsdaten zu erhalten. Das starke/sichere Passwort ist hier natürlich auch zwingend notwendig um sich so gut wie möglich zu schützen.

Wie in dem Artikel von Quentin Kaiser Gaining RCE by abusing Node-RED aufgezeigt, ist eine RCE dann für RedMatic Systeme auch ausnutzbar, da es ja auf Node-Red aufsetzt.
Ein Websocket dient dabei als Shell Zugang. Echt verrückt, was technisch alles möglich ist, zumal dieses Python Skript den Angriff vollkommen automatisiert:

./noderedsh.py --username Admin --password mySecret http://1.2.3.4/addons/red
.....
[+] Establishing RCE link ....
> ls -l
total 4840
-rw-r--r--    1 root   root 43 Sep  5 14:57 VERSION
........

Also bitte niemals die Authentifizierung abschalten oder einfache Passwörter nutzen.

Es gibt so viele technisch unerfahrene Benutzer, die sich nicht vorstellen können, das und wie einfach potentielle Sicherheitslücken oder wie hier falsche Konfigurationen ausgenutzt werden können. Wenn dieser Artikel auch nur einen Anwender sensibilisiert, ist das Ziel erreicht.

Der Blogeintrag wurde am 06.10.19 etwas umgeschrieben, da im Homematic Forum der Stil diese Artikels angekreidet wurde.
Die HM Forum Gemeinde ist da etwas eigensinnig. Es ist immer das eventuelle Portforwarding oder der Nutzer das Problem, aber nie die unsichere CCU, die es dem Angreifer wirklich sehr einfach macht.
Wenn schon das Smart Home kein primäres Ziel des Hackers ist, schon mal von Mirai oder Echobot gehört?
Ich möchte hier nur die sensibilisieren, die sich unwissentlich angreifbar machen und bei Smart Home nicht nach dem Motto no Risk no Fun leben wollen.
Das dies auch in echt passiert, zeigt dieser Thread ich wurde “gehackt”. Aber hier war RedMatic bestimmt nicht im Spiel, da reichte schon eine der vielen Sicherheitslücken im ReGa Prozess.

Disclaimer

The information provided is released “as is” without warranty of any kind. The publisher disclaims all warranties, either express or implied, including all warranties of merchantability. No responsibility is taken for the correctness of this information. In no event shall the publisher be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits or special damages, even if the publisher has been advised of the possibility of such damages.

The contents of this advisory are copyright (c) 2019 by psytester and may be distributed freely provided that no fee is charged for this distribution and proper credit is given.

Written on September 19, 2019