Die US-Behörde CISA warnt vor vier Schwachstellen in intelligenten Hydroponiksystemen von Gardyn, die Angreifern Fernzugriff ohne Authentifizierung ermöglicht hätten. Der Hersteller hat Patches veröffentlicht; etwa 138.000 Geräte waren betroffen.
Die Cybersicherheitsbehörde CISA hat diese Woche vor erheblichen Sicherheitslücken in den intelligenten Gartensystemen von Gardyn gewarnt. Die betroffenen Produkte Gardyn Home und Gardyn Studio ermöglichen es Nutzern, Gemüse, Kräuter und Grünpflanzen in Innenräumen anzubauen – unterstützt durch automatisierte LED-Beleuchtung, nährstoffreiches Wassermanagement und KI-gesteuerte Überwachung.
Insgesamt wurden vier Schwachstellen identifiziert: zwei kritisch und zwei mit hoher Schweregrad. Die kritische Lücke CVE-2025-29631 ermöglicht Command-Injection-Angriffe zur Ausführung beliebiger Befehle auf dem Gerät. CVE-2025-1242 betrifft hartcodierte Admin-Zugangsdaten, die vollständige Kontrolle über den Gardyn IoT Hub ermöglichen. Die hochgradigen Schwachstellen CVE-2025-29628 und CVE-2025-29629 beziehen sich auf unverschlüsselte Datenübertragung im Azure IoT Hub und die Verwendung von Standardanmeldedaten für SSH-Zugriff.
Der Sicherheitsforscher Michael Groberman, der die Lücken identifizierte, schätzt, dass etwa 138.000 Geräte betroffen waren. Er berichtete SecurityWeek, dass die kritischen Schwachstellen aus dem Internet ohne Authentifizierung ausgenutzt werden konnten. In einem theoretischen Angriffsszenario hätte ein Angreifer die hartcodierten Admin-Credentials extrahieren, administrativen Zugriff auf den IoT Hub erlangen und dann über die Command-Injection-Lücke beliebige Befehle auf den Heimsystemen ausführen können.
Gardyn bestätigte, dass Angreifer potenziell die Beleuchtung und Bewässerung manipulieren sowie auf Fotos und begrenzte persönliche Daten zugreifen konnten. Das Unternehmen versicherte allerdings, dass keine Anmeldedaten oder Zahlungskartendaten exponiert wurden und keine Hinweise auf aktive Ausnutzung existieren.
Der Hersteller hat bereits Patches für beide Produktlinien veröffentlicht, einschließlich mobiler App-Updates und Firmware-Aktualisierungen. Da Firmware automatisch bei Internetverbindung aktualisiert wird, sollten die meisten Nutzer bereits geschützt sein. Grobermans Forschung basiert teilweise auf früheren Erkenntnissen des Sicherheitsforschers Kristof Mattei aus dem Sommer 2025, der damals feststellte, dass kritische Probleme ungepatcht blieben.
Quelle: SecurityWeek