يقول باحث أمان إن كلمة المرور الافتراضية التي يتم شحنها في نظام التحكم في الوصول إلى الباب المستخدم على نطاق واسع يسمح لأي شخص بالوصول إلى أقفال الأبواب بسهولة وبنائية وعناصر تحكم المصاعد في عشرات المباني في جميع أنحاء الولايات المتحدة وكندا.
لن تقوم Hirsch ، الشركة التي تمتلك الآن نظام الوصول إلى أبواب شبك ، قائلة إن الخطأ هو حسب التصميم وأنه كان يجب على العملاء اتباع تعليمات إعداد الشركة وتغيير كلمة المرور الافتراضية.
هذا يترك العشرات من المباني السكنية والمكاتب المكشوفة في جميع أنحاء أمريكا الشمالية والتي لم تغير بعد كلمة المرور الافتراضية لنظام التحكم في الوصول أو أنها غير مدركة ، وفقًا لإريك دايغل ، الذي وجد العشرات من المباني المكشوفة.
كلمات المرور الافتراضية ليست غير شائعة ولا بالضرورة سرًا في الأجهزة المتصلة بالإنترنت ؛ عادةً ما يتم تصميم كلمات المرور التي يتم شحنها باستخدام المنتجات لتبسيط الوصول إلى تسجيل الدخول للعميل وغالبًا ما يتم العثور عليها في دليل التعليمات. ولكن الاعتماد على العميل لتغيير كلمة المرور الافتراضية لمنع أي وصول ضار في المستقبل لا يزال يصنف على أنه ثغرة أمنية داخل المنتج نفسه.
في حالة منتجات إدخال الأبواب الخاصة بـ Hirsch ، لا يُطلب من العملاء الذين يقومون بتثبيت النظام أو مطالبهم بتغيير كلمة المرور الافتراضية.
على هذا النحو ، كان الفضل في Daigle اكتشاف الخلل الأمني ، المعين رسميًا على أنه CVE-2025-26793.
لا يوجد إصلاح مخطط
لطالما كانت كلمات المرور الافتراضية مشكلة للأجهزة المتصلة بالإنترنت ، مما يسمح للمتسللين الخبيثين باستخدام كلمات المرور لتسجيل الدخول كما لو كانوا المالك الشرعي وسرقة البيانات ، أو اختطاف الأجهزة لتسخير عرض النطاق الترددي الخاص بهم لإطلاق الهجومات الإلكترونية. في السنوات الأخيرة ، سعت الحكومات إلى دفع صانعي التكنولوجيا بعيدًا عن استخدام كلمات المرور الافتراضية غير الآمنة بالنظر إلى المخاطر الأمنية التي يمثلونها.
في حالة نظام إدخال باب هيرش ، يتم تصنيف الخطأ على أنه 10 من 10 على مقياس شدة الضعف ، وذلك بفضل السهولة التي يمكن لأي شخص استغلالها. من الناحية العملية ، يعد استغلال الخلل أمرًا بسيطًا مثل أخذ كلمة المرور الافتراضية من دليل تثبيت النظام على موقع Hirsch وتوصيل كلمة المرور في صفحة تسجيل الدخول التي تواجه الإنترنت على أي نظام بناء متأثر.
في منشور مدونة ، قال Daigle إنه وجد أن الضعف العام الماضي بعد اكتشاف واحدة من لوحات دخول أبواب هيرش في هيرش صنعها على مبنى في مسقط رأسه في فانكوفر. استخدم Daigle موقع مسح الإنترنت Zoomeye للبحث عن أنظمة شبكات المعوية التي تم توصيلها بالإنترنت ، ووجدت 71 نظامًا لا يزال يعتمد على بيانات الاعتماد الافتراضية.
وقال Daigle إن كلمة المرور الافتراضية تتيح الوصول إلى نظام الواجهة الخلفية المستندة إلى الويب الخاصة بـ Mesh ، والذي يستخدمه مديرو المباني لإدارة الوصول إلى المصاعد والمناطق المشتركة وأقفال المكاتب والأبواب السكنية. يعرض كل نظام العنوان الفعلي للمبنى مع تثبيت نظام الشبكات ، مما يسمح لأي شخص يقوم بتسجيل الدخول لمعرفة المبنى الذي يمكنه الوصول إليه.
وقال دايغل إنه كان من الممكن اقتحام أي من العشرات من المباني المصابة في دقائق دون جذب أي اهتمام.
تدخلت TechCrunch لأن Hirsch ليس لديه الوسائل ، مثل صفحة الكشف عن الضعف ، لأعضاء الجمهور مثل Daigle للإبلاغ عن عيب أمني للشركة.
لم يستجب المدير التنفيذي لشركة Hirsch Mark Allen لطلب TechCrunch للتعليق ، ولكن بدلاً من ذلك تم تأجيله إلى مدير منتج Hirsch كبير ، الذي أخبر TechCrunch أن استخدام الشركة لكلمات المرور الافتراضية “عفا عليها الزمن” (دون أن تقول كيف). قال مدير المنتج إنه “من المثير للقلق” أن هناك عملاء “أنظمة مثبتة ولا تتبع توصيات الشركات المصنعة ، في إشارة إلى تعليمات التثبيت الخاصة بـ Hirsch.
لن تلتزم Hirsch بالكشف علنًا عن التفاصيل حول الخطأ ، لكنها قالت إنها اتصلت بعملائها باتباع دليل تعليمات المنتج.
مع عدم راغبة في إصلاح الخلل ، من المحتمل أن تظل بعض المباني – وشاغليها – مكشوفة. يوضح الأخطاء أن خيارات تطوير المنتجات من Yesteryear يمكن أن تعود إلى آثار في العالم الحقيقي بعد سنوات.
Source link
اكتشاف المزيد من مؤسسة اشراق العالم لتقنية المعلومات-خدمات مواقع ومتاجر الإنترنت
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.