Un investigador de seguridad dice que la contraseña predeterminada enviada en un sistema de control de acceso a puertas ampliamente utilizado permite a cualquier persona acceder de manera fácil y remota a las cerraduras de puertas y controles de ascensores en docenas de edificios en los EE. UU. y Canadá.
Hirsch, la compañía que ahora es propietaria del sistema de acceso de puerta Enterphone MESH, no corregirá la vulnerabilidad, diciendo que el error es por diseño y que los clientes deberían haber seguido las instrucciones de configuración de la compañía y cambiado la contraseña predeterminada.
Eso deja a docenas de edificios residenciales y de oficinas expuestos en toda América del Norte que aún no han cambiado la contraseña predeterminada de su sistema de control de acceso o no saben que deberían hacerlo, según Eric Daigle, quien encontró las docenas de edificios expuestos.
Las contraseñas predeterminadas no son infrecuentes ni necesariamente secretas en los dispositivos conectados a Internet; Las contraseñas que se envían con los productos suelen estar diseñadas para simplificar el acceso al inicio de sesión para el cliente y, a menudo, se encuentran en su manual de instrucciones. Sin embargo, confiar en que un cliente cambie una contraseña predeterminada para evitar cualquier acceso malicioso en el futuro sigue clasificándose como una vulnerabilidad de seguridad dentro del propio producto.
En el caso de los productos de portero automático de Hirsch, a los clientes que instalan el sistema no se les solicita ni se les exige que cambien la contraseña predeterminada.
No hay una solución planificada
Las contraseñas predeterminadas han sido durante mucho tiempo un problema para los dispositivos conectados a Internet, lo que permite a los piratas informáticos malintencionados usar las contraseñas para iniciar sesión como si fueran el propietario legítimo y robar datos, o secuestrar los dispositivos para aprovechar su ancho de banda para lanzar ataques cibernéticos. En los últimos años, los gobiernos han tratado de alejar a los fabricantes de tecnología del uso de contraseñas predeterminadas inseguras debido a los riesgos de seguridad que presentan.
En el caso del portero automático de Hirsch, el error está calificado con un 10 sobre 10 en la escala de gravedad de la vulnerabilidad, gracias a la facilidad con la que cualquiera puede explotarlo. En términos prácticos, explotar el error es tan simple como tomar la contraseña predeterminada de la guía de instalación del sistema en el sitio web de Hirsch e ingresar la contraseña en la página de inicio de sesión orientada a Internet en el sistema de cualquier edificio afectado.
En una publicación de blog, Daigle dijo que encontró la vulnerabilidad el año pasado después de descubrir uno de los paneles de entrada de puerta Enterphone MESH fabricados por Hirsch en un edificio en su ciudad natal de Vancouver. Daigle utilizó el sitio de escaneo de Internet ZoomEye para buscar sistemas MESH de Enterphone que estuvieran conectados a Internet, y encontró 71 sistemas que aún dependían de las credenciales enviadas por defecto.
Daigle dijo que la contraseña predeterminada permite el acceso al sistema de back-end basado en la web de MESH, que los administradores de edificios utilizan para administrar el acceso a ascensores, áreas comunes y cerraduras de puertas residenciales y de oficinas. Cada sistema muestra la dirección física del edificio con el sistema MESH instalado, lo que permite que cualquier persona que inicie sesión sepa a qué edificio tuvo acceso.
Daigle dijo que era posible irrumpir efectivamente en cualquiera de las docenas de edificios afectados en minutos sin llamar la atención.
TechCrunch intervino porque Hirsch no tiene los medios, como una página de divulgación de vulnerabilidades, para que miembros del público como Daigle informen de una falla de seguridad a la empresa.
El CEO de Hirsch, Mark Allen, no respondió a la solicitud de comentarios de TechCrunch, sino que se remitió a un gerente senior de productos de Hirsch, quien le dijo a TechCrunch que el uso de contraseñas predeterminadas por parte de la compañía está “desactualizado” (sin decir cómo). El gerente de producto dijo que era “igualmente preocupante” que haya clientes que “instalaron sistemas y no están siguiendo las recomendaciones de los fabricantes”, refiriéndose a las instrucciones de instalación del propio Hirsch.
Hirsch no se comprometió a revelar públicamente detalles sobre el error, pero dijo que se había puesto en contacto con sus clientes para seguir el manual de instrucciones del producto.
Dado que Hirsch no está dispuesto a arreglar el error, es probable que algunos edificios, y sus ocupantes, permanezcan expuestos. El error muestra que las opciones de desarrollo de productos de antaño pueden volver a tener implicaciones en el mundo real años después.
Add Comment