image

Onderzoekers vinden backdoors in allerlei firmware

dinsdag 12 augustus 2014, 11:12 door Redactie, 8 reacties

Bij het eerste grote openbare onderzoek naar firmware in allerlei apparaten hebben onderzoekers tientallen onbekende lekken ontdekt, waaronder verschillende backdoors. Onderzoekers van het Franse Eurecom onderzochten 32.000 firmware-exemplaren van bekende fabrikanten.

Het ging onder andere om Xerox, Bosch, Philips, D-Link, Samsung, LG en Belkin, zo blijkt uit het onderzoeksrapport genaamd "A large scale analysis of the security of embedded firmwares". Firmware fungeert als controller of besturingssoftware van hardware. Voor het verzamelen van de 32.000 firmware-exemplaren schreven de onderzoekers een webcrawler die websites van fabrikanten en downloadsites afging en aanwezige firmware downloadde.

De bestanden werden vervolgens geanalyseerd, wat 38 onbekende beveiligingslekken in 693 firmware-exemplaren opleverde. Door de bestanden waarin de fouten werden gevonden te correleren naar andere, ongerelateerde firmware-exemplaren werden kwetsbaarheden in 123 verschillende producten gevonden. Verder bleek dat sommige van deze kwetsbaarheden in tenminste 140.000 apparaten aanwezig zijn.

Backdoors

Uit het onderzoek kwam naar voren dat veel apparaten, en dan met name surveillancecamera's, zelf gesigneerde certificaten gebruiken. Ook vonden de onderzoekers tientallen "hardcoded wachtwoordhashes", waarvan er veel zwak waren, zodat het bijbehorende wachtwoord kon worden achterhaald. Verder werden verschillende mogelijke backdoors aangetroffen alsmede een groot aantal hardcoded Telnet-inloggegevens en hardcoded inloggegevens voor de webadmin. De inloggegevens voor de webadmin waren op tenminste 101.000 apparaten aanwezig. Doordat ze hardcoded zijn kunnen ze niet door gebruikers worden aangepast.

Een probleem van de firmware-lekken is dat ze lastiger zijn te patchen dan bijvoorbeeld bij desktopapplicaties het geval is. De meeste firmware beschikt namelijk niet over een automatische updatefunctie. Volgens de onderzoekers laat hun onderzoek zien dat dit soort grootschalige onderzoeken dan ook hard nodig zijn. Ze zijn daarom van plan om de onderzoeken verder uit te breiden, zowel qua diepgang als omvang. De resultaten van het onderzoek zullen volgende week tijdens het 23ste Usenix Security Symposium in San Diego worden besproken.

Reacties (8)
12-08-2014, 11:26 door [Account Verwijderd] - Bijgewerkt: 12-08-2014, 11:27
[Verwijderd]
12-08-2014, 11:42 door Anoniem
Zelf-gesigneerde certificaten hoeven geen probleem te zijn. Zeker niet in dit soort apparaten. Het wordt pas vervelend als je ze niet zelf kan vervangen door certificaten die jij vertrouwt, bijvoorbeeld omdat je ze gesigneerd hebt met jouw eigen certificaat.
12-08-2014, 13:03 door User2048
38 lekken in 32.000 exemplaren? Dat is ongeveer 0,12 %...
12-08-2014, 13:27 door Anoniem
Door User2048: 38 lekken in 32.000 exemplaren? Dat is ongeveer 0,12 %...

En dat betreft dan alleen het percentage van de onderzochte apparaten. De ogenschijnlijke lage percentage waarin het werd aangetroffen is niet te bagatelliseren. Het gaat erom dat het probleem bestaat. En dát is verontrustend genoeg, vind ik....
12-08-2014, 14:05 door Anoniem
Door Eric-Jan H te A.

De inloggegevens voor de webadmin waren op tenminste 101.000 apparaten aanwezig. Doordat ze hardcoded zijn kunnen ze niet door gebruikers worden aangepast.

Dit is natuurlijk klinkklare nonsens. Alle mij bekende DSL-modems hebben een hardcoded beheerders wachtwoord. Om in het geval dat sukkels (zoals ikzelf) het zelf ingestelde wachtwoord vergeten, - iets wat niet denkbeeldig is omdat je het maar heel weinig nodig hebt -, uit de brand te helpen door een hardware-reset.
12-08-2014, 16:01 door Anoniem
Juist omdat je een hardware-reset kan doen is er geen hardcoded wachtwoord nodig.
12-08-2014, 16:10 door Anoniem
Door Anoniem: Door Eric-Jan H te A.

De inloggegevens voor de webadmin waren op tenminste 101.000 apparaten aanwezig. Doordat ze hardcoded zijn kunnen ze niet door gebruikers worden aangepast.

Dit is natuurlijk klinkklare nonsens. Alle mij bekende DSL-modems hebben een hardcoded beheerders wachtwoord. Om in het geval dat sukkels (zoals ikzelf) het zelf ingestelde wachtwoord vergeten, - iets wat niet denkbeeldig is omdat je het maar heel weinig nodig hebt -, uit de brand te helpen door een hardware-reset.

nergens voor nodig om daar een hardcoded wachtwoord voor te hebben. in ieder geval niet een wat altijd werkt.
het minste wat men kan doen met dit soort backdoors is zorgen dat ze alleen werken in de eerste 2 minuten na een
powercycle. of alleen in combinatie met een fysieke actie zoals indrukken van een knopje.
12-08-2014, 17:22 door Anoniem
Door Anoniem: Door Eric-Jan H te A.

De inloggegevens voor de webadmin waren op tenminste 101.000 apparaten aanwezig. Doordat ze hardcoded zijn kunnen ze niet door gebruikers worden aangepast.

Dit is natuurlijk klinkklare nonsens. Alle mij bekende DSL-modems hebben een hardcoded beheerders wachtwoord. Om in het geval dat sukkels (zoals ikzelf) het zelf ingestelde wachtwoord vergeten, - iets wat niet denkbeeldig is omdat je het maar heel weinig nodig hebt -, uit de brand te helpen door een hardware-reset.

Als je een wachtwoord vergeet dan moet je nu vaak een hardware reset gebruiken. Moet je maar geen sukkel zijn en het wachtwoord netjes opslaan. Er zijn genoeg oplossingen hiervoor, beginnende bij de bekende post-it (al raad ik dat niet aan).

De aanwezigheid van dit anti-sukkel wachtwoord is een groot risico en het vervelende is dat je als gebruiker/eigenaar niet in staat bent om dit te controleren. Met de huidige zoekprogrammas is het TE GEMAKKELIJK om achterdeuren te vinden (op grote schaal) en te misbruiken (op grote schaal).

Een hardwarematige "enable remote support on/off" zou een stuk beter zijn maar dat kost nu eenmaal meer geld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.