In der populären Alternative zur Smarthome-Steuerungszentrale HomeMatic, RaspberryMatic, könnten Angreifer eine Sicherheitslücke missbrauchen, um Schadcode einzuschleusen und auszuführen. Damit könnten sie die Kontrolle im Smarthome und der damit kontrollierten Geräte übernehmen (CVE-2022-24796, CVSS 10.0, Risiko kritisch). Updates zum Ausbessern der Schwachstelle stehen bereit. Durch die Upload-Möglichkeit in der Weboberfläche WebUI, die zum Hochladen von Firmware-Updates gedacht ist, könnten Angreifer beliebige Befehle einschleusen. Das cgi-Skript, das serverseitig ausgeführt wird und standardmäßig via HTTP-Server auf TCP-Port 80/443 bereitsteht, nimmt keine angemessene Filterung von Benutzereingaben vor. Die Daten reicht es an eine gefährliche Funktion durch, die zum Ausführen von beliebigem Shell-Code in root-Kontext der WebUI missbraucht werden kann, erläutert Projekt-Maintainer Jens Maus in einer Sicherheitsmeldung. Die Schwachstelle lasse sich via einfacher HTTP-Anfragen missbrauchen. Eingeschleuste Befehle würden als root ausgeführt und führten daher zur vollständigen Kompromittierung des unterliegenden Systems und aller seiner Komponenten. Betroffen sind Maus zufolge die RaspberryMatic-Versionen von 2.31.25.20180428 bis einschließlich 3.61.7.20220226. Das Projekt hat die Version 3.63.8.20220330 von RaspberryMatic veröffentlicht, die die kritische Sicherheitslücke schließt. Laut der Releasenotes handelt es sich jedoch um ein größeres neues Release, das noch zahlreiche weitere Veränderungen und Verbesserungen enthält. In de Releasenotes sind auch die Downloads für die unterschiedlichen unterstützten Plattformen verlinkt. Falls Nutzer das Update nicht zeitnah einspielen können, sollten sie mindestens externe Zugriffsmöglichkeiten einschränken, etwa Portweiterleitungen auf dem Internetrouter zum RaspberryMatic-System entfernen. Generell sollten solche Smarthome-Systeme aus Sicherheitsgründen nicht direkt ins Internet gestellt werden.
