Schwachstelle in Thermostat – Vulnerability in thermostat

Intelligente Thermostate spielen eine wichtige Rolle, um Energieeffizienz und Nachhaltigkeit zu erreichen, Stromkosten zu sparen und den Wohnkomfort im Smart Home zu erhöhen. Die Nachfrage nach Lösungen für das Internet der Dinge hat daher zu einem breiten Markt mit verschiedenen Herstellern und einem großen Ökosystem an Hardware und Technologien geführt. Dadurch entstehen auch neue Sicherheitslücken. Im Rahmen eines fortlaufenden Programms untersucht Bitdefender weit verbreitete IoT-Hardware auf Schwachstellen und Sicherheitsrisiken, wie jetzt das Bosch BCC 100 Thermostat. Die entdeckten Angriffsmöglichkeiten betreffen die SW-Version 1.7.0 – HD-Version 4.13.22. Bitdefender hat Bosch am 29. August 2023 über den Sachverhalt informiert. Der Hersteller hat die Schwachstelle am 11. November 2023 geschlossen.

Schwachstellen im Thermostat-Netzwerk

Das Thermostat verfügt über zwei Mikrocontroller, die zusammenarbeiten (Abbildung 1). Der gelb umrandete Controller ist ein Hi-Flying Chip HF-LPT230 Mikrocontroller mit implementierter Wi-Fi-Funktionalität. Dieser Chip fungiert als Netzwerk-Gateway und Proxy für den logischen Mikrocontroller, den STMicroelectronics Chip STM32F103, der in der Abbildung rot markiert ist.

Über das UART-Protokoll überträgt der STM-Chip Daten an den Wi-Fi-Chip, der die eigentliche Verbindung zu den Servern herstellt. Der STM-Chip selbst kann nicht mit dem Netzwerk kommunizieren und überlässt die Kommunikation mit dem Internet dem Hi-Flying Wi-Fi-Chip.

Der Wi-Fi-Chip kommuniziert auch über den TCP-Port 8899 im Local Area Network (LAN) und spiegelt jede Nachricht über diesen Port direkt an den logischen STM-Mikrocontroller über den UART-Datenbus. Bei korrektem Nachrichtenformat kann der WiFi-Mikrocontroller nicht zwischen bösartigen Nachrichten und legitimen Datenpaketen des Cloud-Servers unterscheiden. Dadurch können Angreifer auch Befehle an das Thermostat senden – bis hin zum Update des Gerätes mit Malware.

Update mit Firmware von Drittanbietern

Das Thermostat kommuniziert mit dem Server connect.boschconnectedcontrol.com mit JSON-kodierten Payloads über ein Websocket. Der Server sendet die Pakete unmaskiert, so dass Hacker sie leicht imitieren können. Über den Befehl „device/update” auf Port 8999 wird das Gerät über ein neues Update informiert und startet das vermeintlich legitime Firmware-Update. Das Thermostat fragt den Cloud-Server nach dem Update. Trotz einer Fehlercode-Antwort des Servers, wenn es sich nicht um ein legitimes Update handelt, akzeptieren Geräte mit nicht geschlossener Sicherheitslücke eine gefälschte Antwort, die Details über die bösartige neue Firmware enthält:

\x81\x7e\x01\x33{„error_code“:“0″,“cmd“:“server/fireware“,“device_id“:“<device mac>“,“timestamp“:“<unix timestamp>“,“model“:“BCC101″,“version“: „<fw version>“,“url“:“<firmware URL>“,“size“:“<firmware size>“,“isize“:“0″,“pic_pos“:“2930″,“md5″:“<firmware md5>“,“type“:0,“release_date“:“1111-11-11″}

Das übermittelte Paket enthält die Quelle des Firmware-Downloads, dessen Größe und eine MD5-Prüfsumme der Firmware-Datei sowie die neue Version. Die Authentizität des Firmware-Updates wird nicht überprüft. Sind alle Bedingungen erfüllt, fordert das Thermostat den Cloud-Server auf, die Firmware herunterzuladen und über ein Websocket zu senden:

{„cmd“:“server/deviceUpdate“,“device_id“:“<device mac>“,“timestamp“:“<unix timestamp>“,“url“:“<firmware URL>“,“pindex“:“0″}

Die URL muss über das Internet erreichbar sein, da der Cloud-Server den Download durchführt. Nachdem die Hardware die Datei empfangen hat, wird das Thermostat aktualisiert. Im Falle eines böswilligen Angriffs wäre das Gerät nun vollständig kompromittiert.

Schutz von IoT-Hardware

IoT im Smart-Home-Netzwerk vergrößert die Angriffsfläche für Hacker und stellt damit genauso ein IT-Sicherheitsrisiko dar wie PC-Systeme, Smartphones, Router oder Smart-TVs. Nutzerinnen und Nutzer sollten daher ihre IoT-Hardware gewissenhaft überwachen und so weit wie möglich vom lokalen Netzwerk isolieren. Dies ermöglicht ein dediziertes Netzwerk nur für IoT-Geräte.

Smart Home Scanner können vernetzte Hardware scannen, identifizieren und Geräte mit Schwachstellen melden. Nutzer von IoT-Hardware sollten immer nach der aktuellsten Firmware suchen und vom Hersteller bereitgestellte Aktualisierungen installieren, sobald diese vom Hersteller veröffentlicht werden.

Smart thermostats play an important role in achieving energy efficiency and sustainability, saving on electricity costs and increasing comfort in the smart home. As a result, the demand for IoT solutions has led to a broad market with multiple vendors and a large ecosystem of hardware and technologies. This also creates new security vulnerabilities. As part of an ongoing program, Bitdefender analyzes widely used IoT hardware for vulnerabilities and security risks, such as the Bosch BCC 100 thermostat. The discovered vulnerabilities affect SW version 1.7.0 – HD version 4.13.22. Bitdefender informed Bosch about the issue on August 29. The manufacturer closed the vulnerability on November 11, 2023.

Vulnerabilities in the thermostat network

The thermostat has two microcontrollers that work together (Figure 1). The controller outlined in yellow is a Hi-Flying Chip HF-LPT230 microcontroller with implemented Wi-Fi functionality. This chip acts as a network gateway and proxy for the logical microcontroller, the STMicroelectronics STM32F103 chip shown in red.

The STM chip uses the UART protocol to transmit data to the Wi-Fi chip, which makes the actual connection to the servers. The STM chip itself cannot communicate with the network and leaves communication with the Internet to the Hi-Flying Wi-Fi chip.

The Wi-Fi chip also communicates via TCP port 8899 on the local area network (LAN) and mirrors each message on this port directly to the logical STM microcontroller via the UART data bus. With the correct message format, the WiFi microcontroller cannot distinguish between malicious messages and legitimate data packets from the cloud server. This also allows attackers to send commands to the thermostat, including updating the device with malware.

Updating with third-party firmware

The thermostat communicates with the connect.boschconnectedcontrol.com server via a web socket using JSON-encoded payloads. The server sends the packets unmasked, making them easy for hackers to spoof. The device is notified of a new update via the device/update command on port 8999 and launches the supposedly legitimate firmware update. The thermostat asks the cloud server for the update. Despite an error code response from the server if it is not a legitimate update, devices with the unclosed vulnerability will accept a spoofed response containing details about the malicious new firmware:

\x81\x7e\x01\x33{„error_code“: „0“, „cmd“: „server/fireware“, „device_id“:“<device mac>“, „timestamp“:“<unix timestamp>“, „model“: „BCC101“, „version“: „<fw version>“,“url“:“<firmware URL>“,“size“:“<firmware size>“,“isize“:“0″,“pic_pos“:“2930″,“md5″:“<firmware md5>“,“type“:0,“release_date“:“1111-11-11″}

The transmitted packet contains the source of the firmware download, its size, and an MD5 checksum of the firmware file, as well as the new version. The authenticity of the firmware update is not verified. If all conditions are met, the thermostat requests the cloud server to download the firmware and send it via a web socket:

{„cmd“: „server/deviceUpdate“, „device_id“:“<device mac>“, „timestamp“:“<unix timestamp>“, „url“:“<firmware URL>“, „pindex“: „0“}

The URL must be accessible via the Internet because the cloud server will perform the download. Once the hardware receives the file, the thermostat is updated. In the event of a malicious attack, the device would now be completely compromised.

Protecting IoT Hardware

IoT devices in the smart home network increase the attack surface for hackers and therefore pose the same IT security risk as PC systems, smartphones, routers or smart TVs. Users should carefully monitor their IoT hardware and isolate it from the local network as much as possible. This allows for a dedicated network for IoT devices only.

Smart home scanners can scan and identify networked hardware and report on devices with vulnerabilities. Users of IoT hardware should always check for the latest firmware and install manufacturer-provided updates as soon as they are released by the manufacturer.