Mit einem Handy in fünf Minuten in Dutzende Apartmentgebäude eindringen

 (ericdaigle.ca)
1 Punkte von GN⁺ 2025-02-25 | 1 Kommentare | Auf WhatsApp teilen
  • Vor einigen Monaten kam der Autor auf dem Weg zur SeaBus an einem Apartmentgebäude mit einem interessanten Zugangskontrollpanel vorbei.
  • Er notierte sich den Markennamen „MESH by Viscount“ und begann, mit dem Handy nach Informationen zu suchen.

Teil 0: Erkundung

  • Durch Googeln des Systemnamens fand er eine Verkaufsseite, auf der TCP/IP-Funktionen beworben wurden, mit denen sich das System aus der Ferne programmieren und warten lässt.
  • Mit der Suche nach "mesh by viscount" filetype:pdf fand er einen Installationsleitfaden, in dem erklärt wird, dass die Standardzugangsdaten geändert werden sollten, jedoch ohne Erklärung, wie das zu tun ist.
  • Dabei stellte sich heraus, dass der Titel der Web-UI-Loginseite „FREEDOM Administration Login“ lautet.

Teil 1: Datenschutzverletzung

  • Panels ins Internet zu exponieren ist töricht, doch mit den Standardzugangsdaten war der Zugriff auf das System möglich.
  • Im Benutzerbereich waren vollständige Namen der Bewohner ihren Wohnungsnummern zugeordnet, und die Gebäudeadresse wurde als Seitentitel verwendet.
  • Im Ereignisbereich ließen sich Zutrittsprotokolle einsehen, die bestimmten Wohnungsnummern zugeordnet waren.
  • Im Benutzerbereich waren außerdem die Telefonnummern aller Bewohner offengelegt.

Teil 2: Eindringen

  • Neben der Datenschutzverletzung war auch der Zugriff auf den Bereich für kontrollierte Zonen möglich, um neue Zutritts-FOBs zu registrieren oder bestehende zu deaktivieren.
  • Über die Override-Funktion ließ sich jede beliebige Tür entriegeln.

Teil 3: Wie weit ist das verbreitet?

  • Um zu prüfen, ob es nur Glück war, dass die Standardzugangsdaten beim ersten Treffer funktionierten, scannte der Autor mit ZoomEye nach weiteren Systemen.
  • Mit einem Nuclei-Template überprüfte er, ob die Systeme verwundbar sind.
  • Insgesamt wurden 89 Treffer gefunden; 43 % der Systeme, die im vergangenen Jahr in ZoomEye exponiert waren, waren verwundbar.
  • Die große Mehrheit der exponierten Systeme befindet sich in Kanada.

Zeitachse

  • 2024-12-20: Schwachstelle entdeckt
  • 2024-12-27: Kontaktaufnahme mit Hirsch, dem aktuellen Anbieter von MESH
  • 2025-01-09: Kontaktaufnahme mit dem CEO von Identiv, dem früheren Anbieter von MESH
  • 2025-01-11: Das Produktsicherheitsteam von Hirsch bat um Details und fragte, ob geplant sei, Kunden zu informieren
  • 2025-01-29: Hirsch antwortete, dass Systeme verwundbar seien, wenn das Standardpasswort nicht geändert wurde
  • 2025-01-30: Bitte um ein Update, ob Kunden mit verwundbaren Systemen informiert wurden (bis zur Veröffentlichung keine Antwort)
  • 2025-02-14: CVE-2025-26793 zugewiesen
  • 2025-02-15: Veröffentlichung

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-02-25
Hacker-News-Kommentare

  • Ich war mit einem Amazon-Zusteller auf dem Weg in eine Gated Community, um einen Freund zu besuchen. Wir kannten den Zugangscode für das Tor nicht, aber er war eben Amazon-Zusteller.

    • Er sagte: „Mal sehen, ob ich uns reinbekomme“, stieg aus dem Auto, schaute sich das Zugangspanel an, tippte ein paar Zahlen ein, und das Tor ging auf.
    • Viele Gated Communities und Apartmentanlagen bestellen bei Amazon und anderen Lieferdiensten, geben den Zustellern aber keine Möglichkeit hineinzugelangen. Am Ende schreibt ein von den Codes frustrierter Fahrer den Code neben das Zugangspanel, sodass ihn jeder nutzen kann.
    • Er sagte: „Apartments sind schrecklich“ und fügte hinzu: „Uni-Campusse sind der Schmerz unserer Existenz. Man sollte meinen, Studierende wären bei solchen Dingen clever, aber sie sind die Schlimmsten.“

  • Wenn ich das richtig lese, geht es hier um die „gemeinschaftlichen“ Bereiche eines Apartmentgebäudes, nicht um die Türen der einzelnen Wohnungen. Zwischen dem Zugang zu diesen beiden Dingen besteht ein großer Unterschied.

  • Hirsch antwortete, dass diese anfälligen Systeme den Empfehlungen der Hersteller zum Ändern der Standardpasswörter nicht folgen.

    • Die Empfehlung des Herstellers ist nicht akzeptabel. Vor der Inbetriebnahme des Systems sollte ein sicheres, nicht standardmäßiges Passwort verpflichtend sein.

  • In SF hat einmal jemand den Admin-Zugangscode für alte Apartment-Gegensprechanlagen herausgefunden (vermutlich von Linear und anderen Firmen hergestellt). Diese Gegensprechanlagen riefen eine programmierte Telefonnummer an, wenn man an der Tür einen Apartment-Zugangscode eingab.

    • Also fügten sie einen gefälschten Mieter mit einer Premium-1-900-Nummer hinzu und nutzten die Gegensprechanlage, um dort anzurufen und ein wenig Geld zu verdienen. Natürlich mussten die Vermieter die Kosten tragen.

  • Die Sicherheit von Viscount ist lächerlich schlecht. Als ich in Toronto lebte, wohnte ich in einem Gebäude, das den Zugang mit Viscount-Infrarot-Fobs kontrollierte. Das war nicht sicherer als eine TV-Fernbedienung; keine Rolling Codes, keine Verschlüsselung. Ein Angreifer konnte einfach in der Nähe sitzen und mit einem IR-Empfänger die Fob-Codes aller Leute erfassen und so Zugang zu allen Etagen bekommen.

    • Unnötig zu sagen, dass ich ausgezogen bin.

  • 2025-01-29: Hirsch antwortete, dass diese anfälligen Systeme den Empfehlungen der Hersteller zum Ändern der Standardpasswörter nicht folgen.

    • Ach so. Die Kinder sind also schuld.

  • Ich habe mich immer gefragt: Wie landet eigentlich alles bei Google? Reicht es, einen Link einzureichen, oder muss ein öffentlicher Link darauf verweisen?

  • Nachdem sie viele TV-Serien gesehen hat, kam meine nichttechnische Frau zu dem Schluss, dass echte Systeme leicht zu hacken sind: Man muss nur „Passwort umgehen“, „Passwort ignorieren“ oder „Passwort“ als Passwort verwenden.

    • Sie scheint fast recht zu haben.

  • Wir lachen über Szenen in Hollywood-Filmen, in denen der Protagonist seinem Hacker-Freund sagt: „Verschaff mir Zugang zu diesem Gebäude. Schnell.“ und der Freund sagt: „Moment. Fertig.“ und klick! Die Tür geht auf.

  • In 30 Sekunden ohne Telefon in ein Apartmentgebäude eindringen:

    • Mit einer braunen Papiertüte (Essenslieferung) neben der Gegensprechanlage stehen und so tun, als würde man Knöpfe drücken. Wenn jemand hereinkommt oder hinausgeht, einfach mit hineingehen und „Danke“ sagen. In 9 von 10 Fällen halten sie die Tür auf.