Die von Claroty identifizierten Schwachstellen in der EnOcean SmartServer-Plattform stellen eine ernsthafte Bedrohung für die Sicherheit von Gebäudemanagementsystemen dar. Der SmartServer fungiert als Multi-Protokoll-Gateway und Edge-Controller, der industrielle Geräte mit Cloud-basierten Verwaltungsplattformen verbindet. Genau diese zentrale Rolle macht ihn zu einem attraktiven Angriffsziel.
Die erste Schwachstelle (CVE-2026-22885) ermöglicht einen Security-Bypass und damit das Umgehen von Speicherschutzmechanismen. Die zweite Lücke (CVE-2026-20761) erlaubt Remote Code Execution (RCE) – die Ausführung beliebiger Befehle aus der Ferne. Beide Schwachstellen entstehen durch eine unzureichende Validierung von Paketeingaben. Angreifer können dadurch Argumente manipulieren, die an Systemaufrufe des Linux-basierten Geräts übergeben werden, und so vollständige Kontrolle mit Root-Privilegien erlangen.
In realen Szenarien könnte dies für deutsche Unternehmen katastrophale Folgen haben: Angreifer könnten Heizungs-, Lüftungs- und Klimasysteme manipulieren, Zutrittskontrollsysteme übernehmen oder kritische Fabrikationsprozesse stören. Besonders besorgniserregend ist die Tatsache, dass auch Legacy-Systeme wie die i.LON-Geräte von den Schwachstellen betroffen sind, was bedeutet, dass viele ältere Installationen anfällig bleiben könnten.
EnOcean hat reagiert und das Update SmartServer 4.6 Update 2 (Version 4.60.023) veröffentlicht, das die Sicherheitslücken schließt. Claroty hat zudem technische Details und Proof-of-Concept-Exploits bereitgestellt, um Sicherheitsverantwortlichen bei der Bewertung des Risikos zu helfen.
Die Researcher warnen explizit vor internetexponierten Geräten. Deutsche IT-Verantwortliche sollten daher unmittelbar überprüfen, ob ihre EnOcean-Installation von außen erreichbar ist und schnellstmöglich auf die gepatchte Version migrieren. Eine Netzwerkaudit und die Begrenzung des Zugriffs auf diese Systeme sollten prioritär erfolgen.