System zarządzania domofonnymi panelami dostępowymi Hirsch Enterphone MESH posiada domyślne dane logowania (login: freedom, hasło: viscount), które nie są zmieniane podczas konfiguracji początkowej. Atakujący mogą wykorzystać te dane przez Internet, uzyskując dostęp do systemu zarządzania dziesiątkami budynków mieszkalnych w Kanadzie i USA.
▸ Pokaż oryginał (EN)
The Web GUI configuration panel of Hirsch (formerly Identiv and Viscount) Enterphone MESH through 2024 ships with default credentials (username freedom, password viscount). The administrator is not prompted to change these credentials on initial configuration, and changing the credentials requires many steps. Attackers can use the credentials over the Internet via mesh.webadmin.MESHAdminServlet to gain access to dozens of Canadian and U.S. apartment buildings and obtain building residents' PII. NOTE: the Supplier's perspective is that the "vulnerable systems are not following manufacturers' recommendations to change the default password."
Panel administracyjny Web GUI systemu Enterphone MESH jest domyślnie skonfigurowany z niezmienionymi danymi logowania (użytkownik: freedom, hasło: viscount). System nie wymusza ani nie sugeruje zmiany tych danych przy pierwszym uruchomieniu, a procedura ich zmiany jest wieloetapowa i nieintuicyjna. Atakujący może skorzystać z publicznie dostępnego interfejsu mesh.webadmin.MESHAdminServlet przez Internet, podając domyślne dane uwierzytelniające i uzyskując pełny dostęp administracyjny do panelu.
Nieautoryzowany atakujący może uzyskać dostęp administracyjny do systemów kontroli dostępu w budynkach mieszkalnych oraz wykraść dane osobowe (PII) mieszkańców budynków. Istnieje również ryzyko manipulacji systemem kontroli dostępu do budynków.
Należy niezwłocznie zmienić domyślne dane logowania (freedom/viscount) na silne, unikalne hasło zgodnie z zaleceniami producenta. Dostęp do panelu administracyjnego Web GUI powinien zostać ograniczony na poziomie sieci (firewall, VPN) tak, aby nie był dostępny bezpośrednio z Internetu. Należy zastosować patche dostępne u producenta zgodnie z referencjami.
Hirsch (dawniej Identiv i Viscount) Enterphone MESH — wszystkie wersje do 2024 roku włącznie
Producent (Hirsch) stoi na stanowisku, że podatne systemy nie zastosowały się do zaleceń producenta dotyczących zmiany domyślnego hasła. Podatność została publicznie opisana wraz z dowodem możliwości uzyskania dostępu do dziesiątek budynków mieszkalnych w Kanadzie i USA. Szczegółowy opis techniczny dostępny jest pod adresem: https://www.ericdaigle.ca/posts/breaking-into-dozens-of-apartments-in-five-minutes/
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:P/AU:X/R:X/V:X/RE:X/U:X