Eén standaardwachtwoord geeft toegang tot tientallen appartementengebouwen
Volgens een beveiligingsonderzoeker kan iedereen met het standaardwachtwoord dat bij een veelgebruikt toegangscontrolesysteem voor deuren wordt geleverd, eenvoudig en op afstand toegang krijgen tot deursloten en liftbedieningen in tientallen gebouwen in de VS en Canada.
Hirsch, het bedrijf dat nu eigenaar is van het Enterphone MESH-toegangssysteem, wil de kwetsbaarheid niet verhelpen. Volgens hen zit de bug in het ontwerp en hadden klanten de installatie-instructies van het bedrijf moeten volgen en het standaardwachtwoord moeten wijzigen.
Volgens Eric Daigle , die de tientallen blootgestelde gebouwen ontdekte, blijven er tientallen blootgestelde woon- en kantoorgebouwen in Noord-Amerika over die het standaardwachtwoord van hun toegangscontrolesysteem nog niet hebben gewijzigd of zich er niet van bewust zijn dat ze dat zouden moeten doen.
Standaardwachtwoorden zijn niet ongewoon en niet per se geheim in apparaten die met internet zijn verbonden; wachtwoorden die bij producten worden geleverd, zijn doorgaans ontworpen om de inlogtoegang voor de klant te vereenvoudigen en staan vaak in de gebruiksaanwijzing. Maar vertrouwen op een klant om een standaardwachtwoord te wijzigen om toekomstige kwaadaardige toegang te voorkomen , wordt nog steeds geclassificeerd als een beveiligingslek binnen het product zelf.
Bij de deurintercomproducten van Hirsch wordt de klant die het systeem installeert niet gevraagd of gevraagd het standaardwachtwoord te wijzigen.
Daigle wordt daarom gecrediteerd voor de ontdekking van het beveiligingslek, formeel aangeduid als CVE-2025-26793 .
Standaardwachtwoorden vormen al lang een probleem voor apparaten die met internet zijn verbonden, waardoor kwaadwillende hackers de wachtwoorden kunnen gebruiken om in te loggen alsof ze de rechtmatige eigenaar zijn en gegevens kunnen stelen, of de apparaten kunnen kapen om hun bandbreedte te gebruiken voor het uitvoeren van cyberaanvallen. De afgelopen jaren hebben overheden geprobeerd technologiemakers ervan te weerhouden onveilige standaardwachtwoorden te gebruiken, gezien de beveiligingsrisico's die ze met zich meebrengen.
In het geval van Hirsch's deurtoegangssysteem wordt de bug beoordeeld als een 10 op 10 op de schaal van kwetsbaarheidsernst, dankzij het gemak waarmee iedereen het kan misbruiken. Praktisch gezien is het misbruiken van de bug net zo eenvoudig als het standaardwachtwoord uit de installatiehandleiding van het systeem op Hirsch's website halen en het wachtwoord in de internetgerichte inlogpagina van het systeem van een getroffen gebouw invoeren.
In een blogpost zei Daigle dat hij de kwetsbaarheid vorig jaar ontdekte nadat hij een van de door Hirsch gemaakte Enterphone MESH-deurpanelen op een gebouw in zijn geboortestad Vancouver had ontdekt. Daigle gebruikte de internetscansite ZoomEye om te zoeken naar Enterphone MESH-systemen die waren verbonden met internet en vond 71 systemen die nog steeds afhankelijk waren van de standaard meegeleverde inloggegevens.
Daigle zei dat het standaardwachtwoord toegang geeft tot het webgebaseerde backendsysteem van MESH, dat gebouwbeheerders gebruiken om toegang tot liften, gemeenschappelijke ruimtes en kantoor- en woondeursloten te beheren. Elk systeem toont het fysieke adres van het gebouw waarop het MESH-systeem is geïnstalleerd, zodat iedereen die inlogt, weet tot welk gebouw ze toegang hadden.
Volgens Daigle was het mogelijk om binnen enkele minuten in te breken in een van de tientallen getroffen gebouwen, zonder dat dit de aandacht trok.
TechCrunch greep in omdat Hirsch niet over de middelen beschikt, zoals een pagina voor het melden van kwetsbaarheden, waarmee burgers zoals Daigle een beveiligingslek aan het bedrijf kunnen melden.
Hirsch CEO Mark Allen reageerde niet op TechCrunch's verzoek om commentaar, maar verwees in plaats daarvan naar een senior Hirsch product manager, die TechCrunch vertelde dat het gebruik van standaardwachtwoorden door het bedrijf "achterhaald" is (zonder te zeggen hoe). De product manager zei dat het "even zorgwekkend" was dat er klanten zijn die "systemen hebben geïnstalleerd en de aanbevelingen van de fabrikanten niet volgen", verwijzend naar Hirsch' eigen installatie-instructies.
Hirsch wilde geen details over de bug openbaar maken, maar zei wel dat het zijn klanten had gecontacteerd en hen had verzocht de gebruiksaanwijzing van het product te volgen.
Nu Hirsch niet bereid is de bug te repareren, zullen sommige gebouwen — en hun bewoners — waarschijnlijk nog steeds blootgesteld zijn. De bug laat zien dat productontwikkelingskeuzes van vroeger jaren later nog steeds gevolgen kunnen hebben voor de echte wereld.
techcrunch
