Nieuws

Satellietmodems wagenwijd open door verborgen adminaccount

zaterdag 12 juli 2014, 10:48 door Redactie, 8 reacties

Verschillende satellietmodems van de fabrikant Datum Systems staan wagenwijd open door de aanwezigheid van een verborgen en niet aan te passen adminaccount dat ook nog eens het wachtwoord 'admin' gebruikt. Verder blijkt dat het mogelijk is om zonder wachtwoord via FTP in te loggen.

Daardoor zou een aanvaller toegang tot gevoelige delen van het bestandssysteem kunnen krijgen. De problemen zijn aanwezig in de PSM-4500 en PSM-500 series van de satellietmodems, die voornamelijk voor industriële toepassingen worden gebruikt. Volgens het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit kan een aanvaller via de kwetsbaarheden volledige controle over het toestel krijgen. Een patch van de fabrikant is nog niet voorhanden, alsmede een andere praktische oplossing voor het probleem.

Roemeen krijgt 45 maanden cel wegens phishing

Chinese man aangeklaagd wegens inbraak bij Boeing

Reacties (8)

12-07-2014, 12:22 door Flashback956

Wauw, dat dit tegenwoordig nog mogelijk is. En dat al helemaal op dit soort apparatuur. Fabrikant mag zich diep schamen.

12-07-2014, 12:34 door [Account Verwijderd]

[Verwijderd]

12-07-2014, 12:48 door Anoniem

Zou iemand nou een dergelijke fabrikant ook eens willen aanklagen als je zo'n apparaat hebt.

12-07-2014, 16:32 door WhizzMan

Aanklagen gaat pas als je ook schade hebt. In dit geval geef ik je een redelijke kans om te winnen als je aan kan tonen dat de aanvallers door deze bewust ingebouwde backdoor zijn binnen gekomen en je verder alles op orde had.

12-07-2014, 18:00 door Briolet

Een niet vermeld 'admin' account, noem ik geen backdoor, maar een gewone toegang die niet in de manual staat. Een backdoor ik voor mijn gevoel meer een 'niet standaard' toegang.

In de product info van de psm-500 staat echter:

The revolutionary changes are sometimes hidden technology enhancements ......

Dus de koper wist dat er hidden features in zaten. (-:

12-07-2014, 20:14 door yobi

Dergelijke eisen in een contract vastleggen bij inkoop. Een aanklacht is daarna denk ik wel haalbaar.

13-07-2014, 07:37 door [Account Verwijderd]

[Verwijderd]

13-07-2014, 16:47 door spatieman

kuch, hiddenadmin/hiddenadmin ,kuch

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer