SMA Webbox Backdoor (alle Versionen)

  • auf dem 32C3 gerade entdeckt:
    https://ics-cert.us-cert.gov/advisories/ICSA-15-181-02A


    Ich versuche mal das wichtigste mit meinem schlechten Englisch zu übersetzen:


    ÜBERSICHT
    Die SMA WebBox hat einen fest eingebautes Zugangskonto.
    Dieser Zugang lässt sich nicht abschalten oder ändern.
    Diese Informationen wurden am 3.9.2015 auf der ICS-CERT Webseite veröffentlicht.
    SMA plant keinen Patch dieser alten Versionen. Sie haben [angeblich] ihre WebBox Kunden informiert.
    [Mich jedenfalls nicht]
    Das Sicherheitsloch kann remote über das Internet ausgenutzt werden.
    BETROFFENE VERSIONEN
    Sunny WebBox – Alle Versionen.
    WAS KANN PASSIEREN
    Der Angreifer kann sich vollen Zugang zum System verschaffen. [und damit auch zum internen LAN ... ]
    BESCHREIBUNG DER SCHWACHSTELLE
    Die WebBox hat fest eingebaute Passwörter, die der Anwender nicht ändern oder sperren kann.
    Die Gefährdung wurde mit der maximalen Punktzahl bewertet
    AUSNUTZUNG DER SCHWACHSTELLE
    Derzeit nicht öffentlich bekannt
    SCHWIERIGKEIT
    Ein Angreifer mit geringen Fähigkeiten kann das ausnutzen.
    ENTSCHÄRFUNG
    SMA hat [angeblich] ihre WebBox Kunden über das Sunny Portal informiert. SMA empfiehlt nachdrücklich die Port-Weiterleitung im Router zu deaktivieren oder ein VPN zu benutzen.


    ---------
    Vermutlich ist der Mitarbeiter, der schon damals die WebBox Login Passwörter im Klartext über das Internet verschickt hat, nicht mehr da - nun kann das niemand mehr fixen.


    :evil::!:

  • Habe 2 Webboxen und keine Info von SMS erhalten.


    Gesendet von meinem SM-T900 mit Tapatalk

    Überschussanlage 20,2kWp AC-gekoppelt an 3x2x Multi Plus 48/5000/70, 1xSMA STP10000TL, 1xSMA STP8000TL, Victron BMV-702, Victron Color Control GX; Solarspeicher OPZS 48V 2100Ah;

  • Gut die Webbox wird ja schon länger von SMA nicht mehr so gewollt. Das Problem mit allem was so ins Internet geht ist, dass der Hersteller irgendwann einmal kein kommerzielles Interesse mehr dran hat und den Support einstellt. Bei Solaranlagen besonders tragisch, weil die hält deutlich länger wie ein PC betrieben werden.

  • Na da könnten wir bei IBC, bzw den Danfoss TLX pro gleich weitermachen....
    https://ics-cert.us-cert.gov/advisories/ICSA-15-265-02
    Ebenso feste Passwörter enthalten...
    Die Frage bleibt, warum sollte so ein System aus dem Internet erreichbar sein?


    Stefan

  • hab gerade mal eine Anfrage gestellt, bin mal gespannt, wann und wie darauf geantwortet wird.
    Ich finde das schon etwas heftig. O.o

    MfG Heiko

    seit 27.06.19 noch mal 29,76kWp

    seit 11.1.19 nen Hyundai Kona Elektro, als Speicher :D

    seit 15.9.09 - 15,17kWp am laufen :)
    Meine Anlage

  • Die WebBox Backdoor ist ja mit mit Ansage gefunden worden:
    Vor einem Jahr auf dem 31C3: https://www.youtube.com/watch?v=iuMd11kDUz8t=470
    "We discoverd, that firmware contains not only USER and INSTALLER passwords ...".
    :arrow: SERVICE
    :arrow: DEVELOPER


    Damit war bereits vor einem Jahr klar, dass es versteckte Passwörter gibt, die man nur noch finden musste.



    Und wer glaubt, dass er im großem Internet eh' nicht zu sehen ist, kann ja mal eine der vielen Suchmaschinen ausprobieren:
    https://www.shodan.io/search?query=sunny+webbox

  • Da war doch diese Meldung im Portal letztes Jahr, ging auch hier durchs Forum, da ging es irgendwie um Routereinstellungen oder so? Vielleicht findet jemand das Thema?

    Luschenpraktikant L:5--D:1--T:1