INCIBE warnt vor schwerwiegenden Sicherheitslücken im SmartServer IoT von EnOcean Edge (CVE-2026-23456 bis CVE-2026-23460), die Remote-Code-Ausführung und Betriebsstörungen in IIoT-Umgebungen ermöglichen.

Kritische Schwachstellen im SmartServer IoT von EnOcean Edge gefährden industrielle Systeme

Madrid, Spanien – 20. Februar 2026 – Das Spanische Nationale Institut für Cybersicherheit (INCIBE) hat eine dringende Warnmeldung zu mehreren hochriskanten Schwachstellen im SmartServer IoT von EnOcean Edge Inc. veröffentlicht. Das Gerät ist ein weit verbreiteter Edge-Server für industrielle IoT-Umgebungen (IIoT). Die unter den Bezeichnungen CVE-2026-23456 bis CVE-2026-23460 geführten Sicherheitslücken könnten Angreifern die Ausführung von Remote-Code, die Störung von Betriebsabläufen oder den unbefugten Zugriff auf kritische Infrastrukturen ermöglichen.

Technische Details

Die Schwachstellen betreffen SmartServer IoT-Versionen vor 4.5.2. Folgende kritische Probleme wurden identifiziert:

CVE-2026-23456 (CVSS 9.8): Unauthentifizierte Remote-Code-Ausführung (RCE) durch manipulierte HTTP-Anfragen an die Weboberfläche. Ausnutzung eines Pufferüberlaufs in der webserver-Komponente, der eine vollständige Systemkompromittierung ermöglicht.
CVE-2026-23457 (CVSS 8.6): Denial-of-Service (DoS) durch fehlerhafte MQTT-Pakete, die den mqtt-broker-Dienst zum Absturz bringen und die Kommunikation von IoT-Geräten unterbrechen.
CVE-2026-23458 (CVSS 7.5): Unzureichende Authentifizierung in der REST-API, die Angreifern das Umgehen der Authentifizierung und den Zugriff auf sensible Gerätekonfigurationen ermöglicht.
CVE-2026-23459 (CVSS 7.2): Gespeichertes Cross-Site-Scripting (XSS) im Admin-Dashboard, das Session-Hijacking durch schädliche Payloads ermöglicht.
CVE-2026-23460 (CVSS 6.5): Informationspreisgabe durch hartcodierte Anmeldedaten in der Firmware, die Standard-Admin-Passwörter im Klartext offenlegt.

Die Schwachstellen wurden vom INCIBE-CERT im Rahmen einer routinemäßigen Sicherheitsbewertung entdeckt und an EnOcean Edge gemeldet. Das Unternehmen hat einen Patch in SmartServer IoT v4.5.2 veröffentlicht.

Auswirkungen

Der SmartServer IoT wird in intelligenten Gebäuden, industrieller Automatisierung und Energiemanagementsystemen eingesetzt und integriert häufig BACnet-, Modbus- und LonWorks-Protokolle. Die Ausnutzung dieser Schwachstellen könnte zu folgenden Szenarien führen:

Betriebsstörungen in kritischen Infrastrukturen (z. B. HVAC, Beleuchtung oder Zugangskontrollsysteme).
Laterale Bewegung in Unternehmensnetzwerke über kompromittierte IoT-Geräte.
Datenexfiltration sensibler industrieller Telemetriedaten oder Benutzeranmeldedaten.
Physische Sicherheitsrisiken, falls Angreifer verbundene Systeme manipulieren (z. B. Deaktivierung von Brandmeldern oder Sicherheitskameras).

INCIBE warnt, dass Proof-of-Concept-Exploits (PoC) für CVE-2026-23456 und CVE-2026-23457 bereits in Untergrundforen zirkulieren, was die Dringlichkeit von Patches erhöht.

Empfehlungen

Sicherheitsteams und Betreiber industrieller Anlagen sollten:

Umgehend auf SmartServer IoT v4.5.2 oder höher aktualisieren, verfügbar über das Support-Portal von EnOcean Edge.
SmartServer IoT-Geräte von Unternehmensnetzwerken isolieren, bis Patches angewendet wurden, z. B. durch VLANs oder Firewalls.
Netzwerkverkehr auf anomale MQTT/HTTP-Anfragen oder unbefugten API-Zugriff überwachen.
Alle Standard-Anmeldedaten ändern und Mehrfaktor-Authentifizierung (MFA) für Admin-Oberflächen erzwingen.
Verbundene IoT-Geräte auf Anzeichen einer Kompromittierung prüfen, insbesondere solche, die BACnet- oder Modbus-Protokolle verwenden.

Weitere Anleitungen finden sich in der INCIBE-Warnmeldung (INCIBE-CERT-2026-0045) oder im CISA-ICS-Alarm (ICS-ALERT-2026-0220).

Diese Warnmeldung folgt dem koordinierten Offenlegungsprozess von INCIBE. EnOcean Edge hat die Schwachstellen anerkannt und an der Behebung mitgewirkt.