Onderzoekers vinden backdoors in allerlei firmware
Bij het eerste grote openbare onderzoek naar firmware in allerlei apparaten hebben onderzoekers tientallen onbekende lekken ontdekt, waaronder verschillende backdoors. Onderzoekers van het Franse Eurecom onderzochten 32.000 firmware-exemplaren van bekende fabrikanten.
Het ging onder andere om Xerox, Bosch, Philips, D-Link, Samsung, LG en Belkin, zo blijkt uit het onderzoeksrapport genaamd "A large scale analysis of the security of embedded firmwares". Firmware fungeert als controller of besturingssoftware van hardware. Voor het verzamelen van de 32.000 firmware-exemplaren schreven de onderzoekers een webcrawler die websites van fabrikanten en downloadsites afging en aanwezige firmware downloadde.
De bestanden werden vervolgens geanalyseerd, wat 38 onbekende beveiligingslekken in 693 firmware-exemplaren opleverde. Door de bestanden waarin de fouten werden gevonden te correleren naar andere, ongerelateerde firmware-exemplaren werden kwetsbaarheden in 123 verschillende producten gevonden. Verder bleek dat sommige van deze kwetsbaarheden in tenminste 140.000 apparaten aanwezig zijn.
Backdoors
Uit het onderzoek kwam naar voren dat veel apparaten, en dan met name surveillancecamera's, zelf gesigneerde certificaten gebruiken. Ook vonden de onderzoekers tientallen "hardcoded wachtwoordhashes", waarvan er veel zwak waren, zodat het bijbehorende wachtwoord kon worden achterhaald. Verder werden verschillende mogelijke backdoors aangetroffen alsmede een groot aantal hardcoded Telnet-inloggegevens en hardcoded inloggegevens voor de webadmin. De inloggegevens voor de webadmin waren op tenminste 101.000 apparaten aanwezig. Doordat ze hardcoded zijn kunnen ze niet door gebruikers worden aangepast.
Een probleem van de firmware-lekken is dat ze lastiger zijn te patchen dan bijvoorbeeld bij desktopapplicaties het geval is. De meeste firmware beschikt namelijk niet over een automatische updatefunctie. Volgens de onderzoekers laat hun onderzoek zien dat dit soort grootschalige onderzoeken dan ook hard nodig zijn. Ze zijn daarom van plan om de onderzoeken verder uit te breiden, zowel qua diepgang als omvang. De resultaten van het onderzoek zullen volgende week tijdens het 23ste Usenix Security Symposium in San Diego worden besproken.
En dat betreft dan alleen het percentage van de onderzochte apparaten. De ogenschijnlijke lage percentage waarin het werd aangetroffen is niet te bagatelliseren. Het gaat erom dat het probleem bestaat. En dát is verontrustend genoeg, vind ik....
Dit is natuurlijk klinkklare nonsens. Alle mij bekende DSL-modems hebben een hardcoded beheerders wachtwoord. Om in het geval dat sukkels (zoals ikzelf) het zelf ingestelde wachtwoord vergeten, - iets wat niet denkbeeldig is omdat je het maar heel weinig nodig hebt -, uit de brand te helpen door een hardware-reset.
Dit is natuurlijk klinkklare nonsens. Alle mij bekende DSL-modems hebben een hardcoded beheerders wachtwoord. Om in het geval dat sukkels (zoals ikzelf) het zelf ingestelde wachtwoord vergeten, - iets wat niet denkbeeldig is omdat je het maar heel weinig nodig hebt -, uit de brand te helpen door een hardware-reset.
nergens voor nodig om daar een hardcoded wachtwoord voor te hebben. in ieder geval niet een wat altijd werkt.
het minste wat men kan doen met dit soort backdoors is zorgen dat ze alleen werken in de eerste 2 minuten na een
powercycle. of alleen in combinatie met een fysieke actie zoals indrukken van een knopje.
Dit is natuurlijk klinkklare nonsens. Alle mij bekende DSL-modems hebben een hardcoded beheerders wachtwoord. Om in het geval dat sukkels (zoals ikzelf) het zelf ingestelde wachtwoord vergeten, - iets wat niet denkbeeldig is omdat je het maar heel weinig nodig hebt -, uit de brand te helpen door een hardware-reset.
Als je een wachtwoord vergeet dan moet je nu vaak een hardware reset gebruiken. Moet je maar geen sukkel zijn en het wachtwoord netjes opslaan. Er zijn genoeg oplossingen hiervoor, beginnende bij de bekende post-it (al raad ik dat niet aan).
De aanwezigheid van dit anti-sukkel wachtwoord is een groot risico en het vervelende is dat je als gebruiker/eigenaar niet in staat bent om dit te controleren. Met de huidige zoekprogrammas is het TE GEMAKKELIJK om achterdeuren te vinden (op grote schaal) en te misbruiken (op grote schaal).
Een hardwarematige "enable remote support on/off" zou een stuk beter zijn maar dat kost nu eenmaal meer geld.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
