De Nederlandse DearBytes-onderzoeker Wesley Neelen heeft lekken in het Home Center 2 en lite van Fibaro ontdekt, waarmee kwaadwillenden op afstand willekeurige code konden uitvoeren. Er is inmiddels een patch uitgekomen. Ook Domoticz dichtte door de onderzoeker gevonden lekken.
Neelen schrijft dat de Fibaro-kwetsbaarheden het mogelijk maakten om via de webinterface roottoegang te verkrijgen. Hij onderzocht een fysiek exemplaar van het Home Center 2, waarbij bleek dat het een x86-computer is met het besturingssysteem op een usb-drive. De onderzoeker was in staat om via command injection beperkte rechten op het systeem te verkrijgen. Vervolgens was het via een geprepareerde update mogelijk om de rechten te verhogen naar root.
De applicatie stelde een php-pagina beschikbaar zonder authenticatie. Deze pagina valideerde invoer onvoldoende voordat deze in een een php-systemcall werd gebruikt. Deze injectie leverde beperkte rechten op. Vervolgens was het mogelijk om de rechten te verhogen, door een update-bestand te voorzien van een reverse shell. Door een handmatige update uit te voeren was het mogelijk om de shell op deze manier met rootrechten te draaien. Neelen zegt tegen Tweakers dat hij in staat was om ongeveer 185 Home Centers via zoekmachine Shodan te vinden. Zo kon hij deze overnemen en bijvoorbeeld dezelfde acties uitvoeren die een normale gebruiker ook kon uitvoeren.
Uit de website van de fabrikant blijkt dat de software gebruikt kan worden om bijvoorbeeld camera's, thermostaten, alarmsystemen en mediaspelers aan te sturen. De onderzoeker zegt dan ook dat het via internet toegankelijk maken van de webinterface van een domoticacontroller de nodige risico's met zich meebrengt. Door gebruik te maken van een vpn zou dit bijvoorbeeld verholpen kunnen worden. Ook netwerksegmentatie zou aan te raden zijn, zodat er geen verdere weg het netwerk in bestaat. Hij vond via internet ook andere systemen, waaronder verkeerd geconfigureerde en daardoor open Domoticz-installaties, zo vertelt hij. Ook trof hij mqtt-services aan waarbij te zien was of een bedrijf het alarm aan had staan en of er mensen aanwezig waren.
Neelen meldde de kwetsbaarheden eind februari aan de fabrikant. Vervolgens gebeurde er niets totdat hij in juni iemand van het management sprak via LinkedIn. Aan het eind van die maand was de patch uiteindelijk klaar, waarna Neelen in juli kon verifiëren dat de lekken inderdaad waren gedicht. De patch kwam ongeveer een week geleden uit. Neelen onderzocht ook Domoticz op lekken en trof onder meer een sql-injectielek en een buffer overflow aan, die snel werden verholpen.