image

Batman-backdoor in vergaderoplossingen AMX Harman

vrijdag 22 januari 2016, 10:38 door Redactie, 3 reacties

Onderzoekers hebben in de vergaderoplossingen van fabrikant AMX Harman een backdoor ontdekt waardoor een aanvaller de apparatuur die in vergaderruimtes en conferentiezalen wordt gebruikt kon overnemen. Het blijkt om een 'debugging account' te gaan dat voor testdoeleinden was bedoeld.

De ontwikkelaars waren vergeten het account, met de naam 'Black Widow' te verwijderen, waardoor het in de firmware voor de apparatuur terechtkwam. Elke aanvaller die de inloggegevens van dit account wist kon beheerderstoegang tot de apparatuur krijgen. De kwetsbaarheid werd begin 2015 door beveiligingsbedrijf SEC Consult ontdekt, dat AMX in maart informeerde.

Zeven maanden later kwam AMX met een update, maar de nieuwe firmware bleek de backdoor nog steeds te bevatten. Dit keer alleen met de naam Batman. Zowel Black Widow als Batman zijn bekende striphelden. Hoewel AMX wederom werd geïnformeerd dat de backdoor nog steeds aanwezig was, kreeg SEC Consult geen reactie. Deze week kwam het bedrijf eindelijk met een reactie en stelde dat er een update voor de apparatuur beschikbaar is. SEC Consult heeft de update echter nog niet getest. Verschillende instanties van de Amerikaanse overheid en het Amerikaanse leger maken gebruik van de apparatuur van AMX.

Reacties (3)
22-01-2016, 17:06 door karma4
Oepss bewust ingebouwd en niet eens als fout erkennen.
22-01-2016, 19:09 door Anoniem
Wel herkenbaar. Het is best lastig te erkennen dat je zo'n fout maakt. Een stukje gezichtsverlies. Hoe praat je het weer goed en van die vragen..
25-01-2016, 13:09 door Anoniem
Wat jammer dat dit zomaar wordt overgenomen zonder weder hoor. Ik hoop dat ze goede advocaten hebben.

Dit is wat anderen erover zeggen:

https://www.linkedin.com/pulse/networked-av-security-my-thoughts-amx-backdoor-story-max?trk=hp-feed-article-title-share
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.