Perfekte 10: Fünfte maximal-kritische Sicherheitslücke in Smart-Home-Zentrale

Dass eine Sicherheitslücke bei Ciscos Talos die Maximalwertung von 10 (gemäß CVSS 3.0) bekommt, geschieht in der Regel nur ein- bis zweimal pro Monat. Wenn eine solche Lücke ausgerechnet in einer Schaltzentrale für das smarte Zuhause steckt, besteht akute Gefahr für die damit verbundenen Alarmsysteme, Türklingeln, Überwachungskameras und Netzwerke. Und wenn es sich, wie bei der Eufy HomeBase 2, bereits um die fünfte Sicherheitslücke der Kategorie 10 binnen acht Monaten handelt, sollten nicht nur die smarten Alarmglocken laut schrillen.

Runde 1
Eufy ist eine Marke von Anker Innovations, die Eufy HomeBase 2 kostet aktuell 89,99 Euro inklusive Mehrwertsteuer jedoch ohne Netzteil. Die unrühmliche Geschichte dieser Smart-Home-Zentrale begann am 14. September 2011, als Talos die beiden Kategorie-10-Schwachstellen CVE-2021-21941 (Use-after-free) und CVE-2021-21940 (Stapelpufferüberlauf) entdeckte. In beiden Fällen können Angreifer die Eufy HomeBase 2 mit Hilfe speziell präparierter Netzwerkpakete aus dem Internet heraus angreifen, übernehmen und eigenen Code ausführen. Positiv ist anzumerken, dass der Hersteller die beiden Lücken in unter einem Monat, genauer gesagt am 10. Oktober 2021, abgesichert hatte.

Runde 2
Dummerweise hatte Talos am 30. September 2021 bereits eine dritte und vierte Kategorie-10-Schwachstelle ( CVE-2021-21950, CVE-2021-21951: Unkontrollierter Schreibzugriff) gemeldet. Abermals reichte es aus, speziell präparierter Netzwerkpakete an die Smart-Home-Zentrale zu schicken, um dieser eigenen Code unterzuschieben. Doch damit nicht genug: Zwischen dem 28. September und dem 5. Oktober 2021 hatte Talos vier weitere Sicherheitslücken entdeckt, die es ebenfalls in sich haben: CVE-2021-21954 (CVSS 3.0: 9,9), CVE-2021-21952 (CVSS 3.0: 9,4), CVE-2021-21955 (CVSS 3.0: 7,7) und CVE-2021-21953 (CVSS 3.0: 7,7). Einen Patch gab es diesmal nach knapp zweit Monaten am 22. November 2021.

Runde 4
Am 11. März 2022 meldete Talos einen möglichen DoS-Angriff über einen Pufferüberlauf (CVE-2022-26073, CVSS 3.0: 7,4 sowie eine Umgehung der Authentifizierung mit Hilfe speziell gestalteter DHCP-Pakete (CVE-2022-25989, CVSS 3.0: 7,1), welche die Sicherheitsforscher per DHCP-Vergiftung einleiten konnten. Die Flicken erschienen gut einen Monat nach der Meldung am 15. April 2022. Wir halten fest: Von den seit September 2021 gefundenen Sicherheitslücken geht eine extrem große Gefahr aus, doch zumindest kann sich die Reaktionszeit von Anker Innovations sehen lassen. Und augenscheinlich können wir von Au-Ja nicht zählen, denn es fehlt die dritte Runde.

Runde 3
Das Problem von Runde 3 besteht darin, dass diese bereits am 11. Januar 2022 mit der Meldung einer sechsten Kategorie-10-Schwachstelle begann. Bei CVE-2022-21806 handelt es sich abermals um einen Fehler des Typs Use-after-free, also einen Zugriff auf ein zuvor bereits aus dem Speicher entferntes Objekt, welcher aus dem Internet mit Hilfe speziell präparierter Netzwerkpakete ausgelöst werden kann. Gelingt die Attacke, kann der Angreifer die Smart-Home-Zentrale kapern und beliebigen Code ausführen. Um diese Sicherheitslücke mit dem höchst möglichen Schweregrad zu beseitigen, benötigte Anker Innovations fast fünf Monate - erst am 10. Juni 2022 lag der Patch vor und das ist eindeutig zu lange. Zudem sind fünf Kategorie-10-Schwachstellen binnen acht Monaten einfach zu viel.