Ein Cybersecurity-Forscher hat tausende internet-erreichbare Honeywell IQ4-Controller mit kritischen Schwachstellen identifiziert. Honeywell bestreitet die Schwere und warnt, das System sei nur für lokale Netzwerke vorgesehen.
Ein Sicherheitsforscher und der Hersteller Honeywell geraten in einen Disput über die tatsächliche Gefahr einer Schwachstelle im IQ4-Gebäudemanagementsystem. Der renommierte Cybersecurity-Experte Gjoko Krstic, bekannt für seine Forschung an Gebäudeautomationssystemen, hat eine Sicherheitslücke im IQ4-Controller entdeckt, die das webbasierte Bedienfeld ohne Authentifizierung im Auslieferzustand zugänglich macht.
Das Kernproblem liegt darin, dass Angreifer in schlecht konfigurierten Systemen, bei denen das Benutzermodul während der Installation nicht aktiviert wurde, ein Administratorkonto erstellen und sich damit Zugriff auf lokale sowie webbasierte Konfigurationsfunktionen verschaffen können. Dies hätte erhebliche Auswirkungen auf Schulen, Gewerbegebäude und andere Einrichtungen, die auf das System vertrauen.
Krstic hob in seiner diese Woche veröffentlichten Sicherheitsmitteilung hervor, dass legitime Betreiber auf diese Weise gesperrt werden könnten. Der Forscher meldete seine Erkenntnisse Honeywell bereits im Dezember 2025, doch der Hersteller lehnt einen Patch ab und argumentiert, dass das IQ4-System ausschließlich für lokale Netzwerke konzipiert sei und nicht im Internet erreichbar sein dürfe.
Honeywell erklärte gegenüber SecurityWeek, dass IQ4-Geräte unvorkonfiguriert ausgeliefert und von geschultem Personal vor dem Einsatz eingerichtet würden. Das beschriebene Szenario könne nur in einer kurzen Installationsphase oder bei bewusster Deaktivierung von Sicherheitseinstellungen auftreten. Der Hersteller betont zudem, dass das Gerät in diesem Stadium keine Ausrüstung steuern könne und daher kein Risiko für den Betrieb bestehe.
Krstic widerspricht dieser Darstellung deutlich. Er identifizierte knapp 7.500 internet-exponierte Instanzen des Produkts, von denen etwa 20 Prozent ohne Authentifizierung zugreifbar sind. Der Forscher konnte in seinen Tests auch Beleuchtungs- und Temperaturänderungen sowie das Abschalten von Kesseln vornehmen – Funktionen, die Honeywell als unmöglich während der Konfigurationsphase beschreibt.
Eine CVE für diese Schwachstelle ist bereits in Bearbeitung. Krstic hat zudem die CERT Coordination Center der Carnegie Mellon University kontaktiert, die häufig bei Vulnerability-Disclosures vermittelnd eingreift. SecurityWeek konnte bestätigen, dass viele IQ4-Instanzen tatsächlich im Internet erreichbar sind, hat aber nicht alle Behauptungen verifiziert.
Aufgrund der häufigen Angriffe auf Gebäudeautomationssysteme wird die Kontroverse mit Spannung in der Cybersicherheitsbranche verfolgt.
Quelle: SecurityWeek