- เมื่อไม่กี่เดือนก่อน ผู้เขียนเดินผ่านอาคารอพาร์ตเมนต์แห่งหนึ่งที่มีแผงควบคุมการเข้าออกน่าสนใจ ระหว่างทางไปขึ้น SeaBus
- จดชื่อแบรนด์ "MESH by Viscount" ไว้ แล้วเริ่มค้นหาข้อมูลด้วยโทรศัพท์มือถือ
Part 0: การสำรวจ
- ค้นหาชื่อระบบใน Google แล้วพบหน้าขายสินค้าที่โฆษณาความสามารถ TCP/IP สำหรับตั้งโปรแกรมและบำรุงรักษาระบบจากระยะไกล
- ค้นหา
"mesh by viscount" filetype:pdf แล้วพบคู่มือติดตั้ง ซึ่งอธิบายว่าควรเปลี่ยนข้อมูลรับรองเริ่มต้น แต่ไม่มีคำอธิบายวิธีเปลี่ยน
- พบว่าชื่อหน้าเข้าสู่ระบบของเว็บ UI คือ "FREEDOM Administration Login"
Part 1: การรั่วไหลของข้อมูลส่วนบุคคล
- การเปิดเผยแผงควบคุมสู่สาธารณะบนอินเทอร์เน็ตเป็นเรื่องไม่ฉลาด และสามารถเข้าถึงระบบได้ด้วยข้อมูลรับรองเริ่มต้น
- ในส่วนผู้ใช้ มีการแมปชื่อ-นามสกุลของผู้อยู่อาศัยกับหมายเลขยูนิต และใช้ที่อยู่อาคารเป็นชื่อไซต์
- ในส่วนเหตุการณ์ สามารถดูบันทึกการเข้าออกที่เชื่อมโยงกับหมายเลขยูนิตเฉพาะได้
- ส่วนผู้ใช้ยังเปิดเผยหมายเลขโทรศัพท์ของผู้อยู่อาศัยทั้งหมดด้วย
Part 2: การบุกรุก
- นอกจากการรั่วไหลของข้อมูลส่วนบุคคลแล้ว ยังสามารถเข้าถึงส่วนพื้นที่ควบคุมเพื่อเพิ่ม FOB เข้าออกใหม่ หรือปิดใช้งานของเดิมได้
- ผ่านฟังก์ชัน override สามารถปลดล็อกประตูทางเข้าใดก็ได้
Part 3: แพร่หลายแค่ไหน?
- เพื่อยืนยันว่าการที่ข้อมูลรับรองเริ่มต้นใช้ได้กับผลลัพธ์แรกเป็นเพียงความบังเอิญหรือไม่ ผู้เขียนใช้ ZoomEye สแกนหาระบบเพิ่มเติม
- ใช้เทมเพลต Nuclei เพื่อตรวจสอบว่าระบบมีช่องโหว่หรือไม่
- พบทั้งหมด 89 รายการ และ 43% ของระบบที่เปิดเผยบน ZoomEye ในช่วง 1 ปีที่ผ่านมา มีความเสี่ยง
- ระบบที่เปิดเผยส่วนใหญ่อยู่ในแคนาดา
ไทม์ไลน์
- 2024-12-20: ค้นพบช่องโหว่
- 2024-12-27: ติดต่อ Hirsch ซึ่งเป็นผู้จัดจำหน่ายปัจจุบันของ MESH
- 2025-01-09: ติดต่อ CEO ของ Identiv ซึ่งเป็นผู้จัดจำหน่ายเดิมของ MESH
- 2025-01-11: ทีมความปลอดภัยผลิตภัณฑ์ของ Hirsch ขอรายละเอียดเพิ่มเติมและถามว่าจะมีแผนแจ้งลูกค้าหรือไม่
- 2025-01-29: Hirsch ตอบว่าระบบที่ไม่ได้เปลี่ยนรหัสผ่านเริ่มต้นมีความเสี่ยง
- 2025-01-30: ขออัปเดตว่ามีการแจ้งลูกค้าที่ใช้งานระบบที่มีช่องโหว่แล้วหรือไม่ (จนถึงเวลาที่เผยแพร่ยังไม่ได้รับคำตอบ)
- 2025-02-14: ได้รับการกำหนด CVE-2025-26793
- 2025-02-15: เผยแพร่
1 ความคิดเห็น
ความเห็นบน Hacker News
ระหว่างทางไปเยี่ยมเพื่อนในชุมชนที่มีประตูรั้วแห่งหนึ่ง ฉันไปถึงพร้อมกับพนักงานส่งของ Amazon เราไม่รู้รหัสผ่านประตู แต่เขาเป็นพนักงานส่งของ Amazon
ถ้าฉันอ่านสิ่งนี้ถูกต้อง นี่พูดถึงพื้นที่ "ส่วนกลาง" ของอพาร์ตเมนต์ ไม่ใช่ประตูห้องพักจริง ๆ ซึ่งการเข้าถึงสองอย่างนี้ต่างกันมาก
Hirsch ตอบว่าระบบที่มีช่องโหว่เหล่านี้ไม่ได้ทำตามคำแนะนำของผู้ผลิตให้เปลี่ยนรหัสผ่านเริ่มต้น
ที่ SF เคยมีคนค้นพบรหัสเข้าถึงผู้ดูแลระบบของอินเตอร์คอมอพาร์ตเมนต์รุ่นเก่า (น่าจะผลิตโดย Linear และบริษัทอื่น ๆ) อินเตอร์คอมนี้จะโทรไปยังหมายเลขโทรศัพท์ที่ตั้งโปรแกรมไว้เมื่อมีการป้อนรหัสเข้าถึงอพาร์ตเมนต์ที่หน้าประตู
ความปลอดภัยของ Viscount แย่จนชวนขำ ตอนที่ฉันอยู่โตรอนโต ฉันเคยอยู่ในอาคารที่ควบคุมการเข้าออกด้วยพวงกุญแจอินฟราเรดของ Viscount มันไม่ได้ปลอดภัยไปกว่ารีโมตทีวีเลย; ไม่มี rolling code และไม่มีการเข้ารหัส ผู้โจมตีสามารถนั่งอยู่ใกล้ ๆ พร้อมตัวรับสัญญาณ IR เก็บรหัสพวงกุญแจของทุกคน แล้วเข้าถึงได้ทุกชั้น
2025-01-29: Hirsch ตอบว่าระบบที่มีช่องโหว่เหล่านี้ไม่ได้ทำตามคำแนะนำของผู้ผลิตให้เปลี่ยนรหัสผ่านเริ่มต้น
ฉันสงสัยมาตลอด: ทุกอย่างขึ้นไปอยู่บน Google ได้อย่างไร? เป็นเพราะมีคนส่งลิงก์เข้าไป หรือเพราะมีลิงก์สาธารณะเชื่อมไปหามัน?
หลังจากดูซีรีส์ทีวีมาหลายเรื่อง ภรรยาที่ไม่ใช่สายเทคนิคของฉันสรุปว่าระบบจริงนั้นแฮ็กได้ง่าย: แค่ใช้ 'password bypass', 'password override' หรือใช้ 'password' เป็นรหัสผ่านก็พอ
เราหัวเราะกับฉากในหนังฮอลลีวูดที่ตัวเอกพูดกับเพื่อนแฮ็กเกอร์ว่า "ช่วยให้ฉันเข้าอาคารนี้ที เร็ว" แล้วเพื่อนก็บอกว่า "เดี๋ยวนะ ได้แล้ว" จากนั้นคลิก! ประตูก็เปิด
วิธีบุกเข้าอาคารอพาร์ตเมนต์ใน 30 วินาทีโดยไม่ต้องใช้โทรศัพท์: