In bestimmten Situationen war es möglich, dass Unberechtigte sich Zugang zur CCU verschaffen konnten. Zwingende Voraussetzung ist in diesen Fällen, dass entweder das sogenannte Port Forwarding für den Remote Zugriff verwendet wird oder dass das Heim-LAN insgesamt unsicher ist und Fremde damit Zugriff haben. eQ-3 ist es wichtig, dass auch solche Lücken geschlossen werden, die für die meisten Installationen keine Rolle spielen. So empfiehlt eQ-3 seit vielen Jahren, dass Nutzer statt Port Forwarding andere Techniken wie VPN-Verbindungen - z.B. mit Fritz!Fernzugang - oder die Serverlösung "CloudMatic Connect" von der Firma EASY SmartHome verwenden.

Weitere Informationen sind in unserer offiziellen Pressemitteilung zu finden.

Die heute veröffentlichten Updates für unsere CCU2 und CCU3 beheben folgende potentielle Sicherheitslücken:

  • Buffer Overflow im ReGa Web Server
  • Schreiben beliebiger Daten
  • Remote Execution
  • Unberechtigtes Login durch Manipulation mit der SessionID
  • Authentication Bypass durch User „RemoteAPI”
  • Sicherheitslücke im Session Handling
  • Das Update für die CCU 3 finden Sie im Downloadbereich und für die CCU 2 im Downloadbereich unserer eQ-3 Herstellerseite.

 

Folgende Angriffsmöglichkeiten bestanden zuvor bei diesen potentiellen Sicherheitslücken:

  • Aus dem Internet, wenn Port Forwarding eingerichtet war.
  • Aus dem LAN, wenn unsichere Systeme Zugang zum Heim-LAN haben.

Sicherheitshinweis - Port Forwarding NICHT benutzen

Wir, die eQ-3 AG schätzen Port Forwarding allgemein als Sicherheitslücke ein und warnen bereits seit 2015 vor
dessen Nutzung mit der CCU. Sollten Sie Port Forwarding mit der CCU nutzen empfehlen wir Ihnen dringend die Konfiguration zu ändern.

Alternativen sind unter anderem:

  • Nutzung einer VPN Lösung, z. B. in Verbindung mit einem DSL / Kabel-Router (wie beispielsweise Fritz! Fernzugriff von AVM)
  • Nutzung einer Fernzugangs-Lösung zur CCU, z. B. Cloudmatic von Easy Smarthome

Falls Sie hierzu weitere Fragen haben, kontaktieren Sie uns hierfür unter support@eq-3.de.