image

Honderden presentatiesystemen toegankelijk vanaf internet

donderdag 2 mei 2019, 16:01 door Redactie, 0 reacties

Honderden draadloze presentatiesystemen die door bedrijven, scholen en universiteiten worden gebruikt zijn toegankelijk vanaf internet en kunnen door het ontbreken van beveiligingsupdates op afstand worden overgenomen. Het gaat om presentatiesystemen van onder andere Barco en Crestron.

Via de apparatuur is het mogelijk om data draadloos naar het presentatiescherm door te sturen. Onderzoeker Jacob Baines van securitybedrijf Tenable ontdekte onlangs vijftien kwetsbaarheden in de AM-100- en AM-101-presentatiesystemen van Crestron. Verder onderzoek wees uit dat de WePresent van fabrikant Barco nagenoeg hetzelfde apparaat is. Zowel de software van Barco als Crestron is ontwikkeld door Awind, een dochteronderneming van Barco.

Baines ontdekte dat nog meer partijen de WePresent onder een eigen naam aanbieden. Al deze verschillende apparaten zijn via één exploit te compromitteren, aldus de onderzoeker. Nu zijn er wel firmware-updates beschikbaar die de kwetsbaarheid verhelpen, maar in het geval van Crestron zijn die niet door eindgebruikers te downloaden. Bij andere fabrikanten moeten gebruikers eerst een serienummer opgeven.

Via de zoekmachine Shodan ontdekte Baines zo'n 1600 draadloze presentatiesystemen. Het grootste deel daarvan draaide niet de laatste versie. In het geval van Crestron, dat de populairste aanbieder is, was 80 procent niet up-to-date. De apparaten bleken onder andere door meer dan honderd universiteiten in Noord-Amerika gebruikt te worden.

"Dus wat hebben we hier? Een doorverkocht platform dat tussen verschillende leveranciers verschillende patchniveaus heeft. Gebruikers die traag patches installeren. Lastig te verkrijgen firmware. Installaties die apparaten blootstellen aan het internet en als laatste slechte softwareontwikkelingsmethoden die alle apparaten kwetsbaar maken voor het op afstand uitvoeren van code", aldus de onderzoeker. Gebruikers wordt aangeraden om alleen producten te kopen van leveranciers die standaard 'security practices' volgen en IoT-apparaten niet aan het internet te hangen.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.