Kritiek lek in wifi-thermostaat kan aanvaller op afstand toegang geven
Wifi-thermostaten van fabrikant Network Thermostat bevatten een kritieke kwetsbaarheid waardoor een aanvaller op afstand volledige administrator-toegang kan krijgen. Er zijn updates uitgebracht om het probleem te verhelpen. De 'X-Series' wifi-thermostaten van Network Thermostat zijn op afstand te bedienen, bijvoorbeeld vanaf smartphone of computer.
Het beveiligingslek (CVE-2025-6260) bevindt zich in de embedded webserver van de thermostaat. Hierdoor kan een aanvaller directe toegang tot de webserver krijgen en wachtwoorden van gebruikers resetten. Dit kan tot "full administrative access" tot het apparaat leiden, zo waarschuwt het Amerikaanse cyberagentschap CISA. Dat merkt op dat de kwetsbaarheid zowel vanaf het lokale netwerk als het internet is te misbruiken, als voor de thermostaat port forwarding op de router is ingesteld.
De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Wifi-thermostaten die door de fabrikant zijn te bereiken hebben de update inmiddels ontvangen. Eindgebruikers van wie de thermostaat achter een firewall zit moeten contact met de leverancier opnemen om de installatie te coördineren, aldus het CISA.
Welkom in de 21ste eeuw.
Ken je het Open Source project Home Assistant?
Een thermostaat online is wel het meest basic.
Welkom in de 21ste eeuw.
Ken je het Open Source project Home Assistant?
Een thermostaat online is wel het meest basic.
Ik gebruik ook al jaren HA maar mijn Plugwise thermostaat is echt niet vanaf internet te bereiken. Die zit in een afgesloten IOT vlan.
Ik kan op mijn vpn server thuis inloggen (als ik niet thuis ben) dan kan de HA app de thermostaat bereiken eerder niet.
En ja een een thermostaat die ik vanaf mijn netwerk kan bedienen is handig en ook gewoon leuk.
Ik kan allerlei schema's instellen voor verschillende situaties zoals weekend of werk dagen enfin teveel om hier allemaal even op te noemen.
Welkom in de 21ste eeuw.
Ken je het Open Source project Home Assistant?
Een thermostaat online is wel het meest basic.
Helemaal niet. Een thermostaat rechtstreeks via internet bereikbaar is niet wat Home Assistant levert.
Je wilde even trollen want hij staat er niet bij hoor: https://www.home-assistant.io/integrations/?search=thermo
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?