Vendedor se recusa a remover conta backdoor que pode facilitar ataques a empresas industriais

Início » Cibersegurança » Vendedor se recusa a remover conta backdoor que pode facilitar ataques a empresas industriais

Read Time:1 Minute, 38 Second

Os servidores de dispositivos seriais industriais Korenix JetPort têm uma conta backdoor que pode ser abusada por hackers mal-intencionados em ataques direcionados a organizações industriais, mas o fornecedor diz que a conta é necessária para o suporte ao cliente.

A conta em questão pode ser explorada por um invasor na rede para acessar o sistema operacional do dispositivo e obter controle total. O invasor poderia reconfigurar o dispositivo e possivelmente obter acesso a outros sistemas conectados ao servidor.

O problema foi identificado no produto Korenix JetPort 5601V3, projetado para conectividade em ambientes industriais. A SEC Consult acredita que outros produtos – incluindo dispositivos industriais da marca Westermo e Comtrol – também podem ser impactados.

A Beijer Electronics, empresa-mãe do provedor de soluções de rede industrial Korenix, foi contatada para comentar.

A SEC Consult disse ao SecurityWeek que a conta backdoor tem a mesma senha em todos os dispositivos que está armazenada no firmware. Uma vez que um invasor tenha quebrado a senha — a senha não é armazenada em texto claro e precisa ser quebrada — ela pode ser usada para atacar todos os dispositivos afetados. Além disso, a senha não pode ser alterada pelo usuário.

O fornecedor disse à SEC Consult que a conta backdoor é necessária para o suporte ao cliente e argumentou que a senha “não pode ser quebrada em um período razoável de tempo”.

A SEC Consult admitiu que não poderia imediatamente quebrar a senha, mas não se esforçou muito na tarefa. O hash da senha não foi tornado público, mas pode ser facilmente extraído do firmware.

A empresa diz que existem melhores soluções para acesso ao helpdesk, que não exigem o uso de backdoors.

Esta não é a primeira vez que um pesquisador encontra credenciais codificadas em dispositivos JetPort. Em 2012, o ICS-CERT alertou as organizações sobre credenciais que poderiam ter sido abusadas para acesso administrativo, mas essa vulnerabilidade foi em algum momento corrigida com uma atualização de firmware.

FONTE: SECURITYWEEK