Update om een mogelijke beveiligingslek in de FTP toegang van de Miniserver te repareren

Bij Loxone beschermen we niet alleen huizen en gebouwen, maar ook de systemen van onze klanten. Daarom voeren wij regelmatig beveiligingsaudits uit.

Tijdens onze laatste audit op 24 januari 2022 ontdekten we een beveiligingslek met betrekking tot de FTP-toegang van Miniserver met firmwareversies 12.1.6.17, 12.1.7.16, 12.2.10.27 en 12.2.11.5.
Deze kwetsbaarheid kan in zeldzame scenario’s worden gebruikt in installaties waar de FTP-toegang van de Miniserver is ingeschakeld, door aanvallers om gegevens op de Miniserver te wijzigen.

Ons team heeft onmiddellijk een nieuwe versie gemaakt om deze kwetsbaarheid te verhelpen. De firmwareversie 12.2.12.1 is nu beschikbaar om te downloaden en wordt aanbevolen voor alle Miniserver met firmwareversie 12.1.6.17, 12.1.7.16, 12.2.10.27 en 12.2.11.5.

De update is vandaag ook uitgebracht in de Loxone App om het updaten door de gebruiker te vergemakkelijken. De nieuwe versie bevat geen andere wijziging dan het verhelpen van het beveiligingslek.

Er zijn geen gevallen bekend waarin dit beveiligingslek is misbruikt door een aanvaller.
Zoals gebruikelijk raden wij aan om alle installaties van klanten up-to-date te houden. De update voorkomt het potentiële aanvalsscenario volledig en zorgt zo voor maximale veiligheid.