SÅRBARE: Et stort antall eksisterende produkter har sikkerhetshull. Det blir ikke bedre når tingenes internett brer ytterligere om seg.

Over 900 produkter fra 50 fabrikanter deler sertifikater og SSH-nøkler

Åpner opp for en rekke angrep og inntrengningsteknikker.

Publisert Sist oppdatert

Et stort antall produkter med innebygd nettverksprogramvare som rutere, IP-kamera, IP-telefoner, modemer og lignende bruker de samme hardkodete X.509 digitale sertifikatene for HTTPS og som SSH-nøkler. Dette er en svakhet som gjør det mulig å gjennomføre en rekke forskjellige angrep som kan gi tilgang eller at data havner på avveie, advarer CERT/CC hos Carnegie Mellon University.

Direkte på nettet

Sikkerhetskonsulenten Stefan Viehböck i selskapet SEC Consult har ifølge nettsiden www.net-security.org undersøkt firmwaren til mer enn 4000 produkter fra over 70 leverandører, og funnet at i enkelte tilfeller deler mer enn en halv million enheter det samme sertifikatet.

-- Et annet aspekt ved dette, er at et stort antall av slike enheter er direkte tilgjengelige på internett. Bare ved å se på antallet er det grunn til å anta at ikke alle er gjort tilgjengelig på nettet med overlegg, for eksempel med administrasjon via HTTPS/SSH på WAN-portens IP-adresse. Denne eksponeringen øker angrepsflaten og gjør det mulig å utnytte svakheter i enhetens firmware, i tillegg til svak legitimasjon satt av brukeren, heter det i en uttalelse fra selskapet.

Mange fabrikanter

Ifølge analysen er det et stort antall fabrikanter som er berørt av dette. Listen inneholder både svært kjente gigantselskap, og litt mer obskure leverandører – i alle fall her til lands:

ADB, AMX, Actiontec, Adtran, Alcatel-Lucent, Alpha Networks, Aruba Networks, Aztech, Bewan, Busch-Jaeger, CTC Union, Cisco, Clear, Comtrend, D-Link, Deutsche Telekom, DrayTek, Edimax, General Electric (GE), Green Packet, Huawei, Infomark, Innatech, Linksys, Motorola, Moxa, NETGEAR, NetComm Wireless, ONT, Observa Telecom, Opengear, Pace, Philips, Pirelli , Robustel, Sagemcom, Seagate, Seowon Intech, Sierra Wireless, Smart RG, TP-LINK, TRENDnet, Technicolor, Tenda, Totolink, unify, UPVEL, Ubee Interactive, Ubiquiti Networks, Vodafone, Western Digital, ZTE, Zhone og ZyXEL.

SEC Consult har med CERT/CCs hjelp advart leverandørene om denne svakheten, og «enkelte leverandører har antydet at oppdateringer eller råd kommer til å bli utgitt».

Felles SDK-er

-- For majoriteten av de berørte leverandørene er gjenbruken av sertifikater og nøkler begrenset til enkelte produktlinjer fra leverandørene. Det er enkelte tilfeller der identiske sertifikater og nøkler har blitt brukt av flere leverandører. Da er antakelig den bakenforliggende årsaken at firmwaren har blitt utviklet oppå felles SDK-er, eller OEM-produkter som bruker firmware levert av ISP-er, forklarte CERT/CC i sin beskrivelse av problemet.

Brukerne oppfordres til å plage sine leverandører ved å mase om mer informasjon og en løsning på dette. I mellomtiden er en midlertidig løsning å ikke tillate forbindelser fra andre enn maskiner og nettverk som er forhåndstillatt til dette.