Ein Sicherheitsforscher sagt, dass das Standardkennwort, das in einem weit verbreiteten Tür -Zugangskontrollsystem gesendet wurde, jeder einfache und ferngezogene Zugriff auf die Türschlösser und Aufzugssteuerung für Dutzende von Gebäuden in den USA und Kanada ermöglicht.
Hirsch, das Unternehmen, das jetzt über das Enterphone Mesh Access -System verfügt, behebt keine Sicherheitsanfälligkeit und erklärt, dass der Fehler im Entwurf ist und dass Kunden die Konfigurationsanweisungen des Unternehmens verfolgen und das Standardkennwort geändert haben.
Dadurch werden Dutzende von Gebäuden in Nordamerika ausgesetzt, die das Standardkennwort des Zugriffskontrollsystems noch nicht geändert haben oder nicht wissen, dass sie sollten. Laut Eric Daiglewer fand die Dutzenden von exponierten Gebäuden.
Standardkennwörter sind weder ungewöhnlich noch notwendigerweise ein Geheimnis auf im Internet verbundenen Geräten. Mit Produkten gesendete Kennwörter sind normalerweise so konzipiert, dass die Anmeldeinzugriff auf den Kunden vereinfacht wird, und befinden sich normalerweise in ihrer Bedienungsanleitung. Vertrauen eines Kunden, um ein Standardkennwort zu ändern, um einen böswilligen zukünftigen Zugriff zu vermeiden klassifiziert immer noch als Sicherheitsanfälligkeit innerhalb des Produkts selbst.
Bei Produkten mit Hirsch -Port -Eingangsprodukten werden Kunden, die das System installieren, nicht angefordert oder erforderlich, um das Standardkennwort zu ändern.
Daher wurde Daigle die Entdeckung des Sicherheitsfehler CVE-2025-26793.
Keine geplante Korrektur
Standardkennwörter waren ein Problem für im Internet verbundene Geräte, sodass böswillige Hacker Passwörter verwenden können, um sich als legitimer Eigentümer anzumelden und Daten zu stehlen, oder Entführen Sie die Geräte Genießen Sie Ihre Bandbreite, um Cyber -Angriffe zu starten. In den letzten Jahren haben Regierungen gesucht zu stechen Privatindustrie weit davon entfernt Verwenden von unsicheren Standardkennwörtern Angesichts der Sicherheitsrisiken, die sie präsentieren.
Im Falle des Hirsch -Porteintragssystems wird der Fehler auf die Schwerkraft der Sicherheitsanfälligkeit als 10 mal 10 eingestuft, dank der Leichtigkeit, mit der jeder es erkunden kann. Praktisch gesehen ist die Erforschung des Fehlers so einfach wie das Standardkennwort des Systeminstallationshandbuchs auf der Hirsch -Website und das Anschließen des Kennworts mit der Anmeldeseite -orientierte Seite auf dem System eines betroffenen Gebäudes.
In Ein Blog -BeitragDaigle sagte, sie habe letztes Jahr die Verwundbarkeit gefunden, nachdem sie eines der entdeckten Enterphone -Mesh -Mesh -Mesh -Panels aus Hirsch in einem Gebäude in ihrer Heimatstadt Vancouver entdeckt hatte. Daigle verwendete den Zoomeye -Internet -Scan, um nach Enterphone -Netzsystemen zu suchen, die mit dem Internet verbunden waren, und fand 71 Systeme, die immer noch auf standardmäßig gesendeten Anmeldeinformationen basierten.
DAIGLE Laut dem Standardkennwort ermöglicht der Zugriff auf das Web-Back-End-System, mit dem Gebäudemanager den Zugriff auf Aufzüge, gewöhnliche Bereiche, Büroschlösser und Wohnhäfen verwalten. Jedes System zeigt die physische Adresse des Gebäudes mit dem installierten Netzsystem an, sodass sich jeder anmelden kann, zu dem sich das Gebäude zugegriffen hat.
Daigle sagte, es sei möglich, in wenigen Minuten, ohne Aufmerksamkeit zu erregen, effektiv in eines der Dutzenden von Gebäuden einzudringen.
TechCrunch hat interveniert, da Hirsch nicht über die Mittel wie eine Schwachstellenseite verfügt, so dass öffentliche Mitglieder wie Digigis das Unternehmensfehl zum Unternehmen melden.
Mark Allen, CEO von Hirsch, antwortete nicht auf die Anfrage von TechCrunch nach Kommentaren, sondern wurde auf einen hochrangigen Hirsch -Produktmanager verschoben, der TechCrunch sagte, dass die Verwendung der Standardkennwörter „veraltet“ ist (ohne zu sagen, wie). Der Produktmanager sagte, es sei „ebenso besorgniserregend“, dass es Kunden gibt, die „Systeme installieren“ und die Empfehlungen der Hersteller nicht folgen „, was sich auf die Anweisungen der Hirsch -Installation selbst bezieht.
Hirsch würde sich nicht dazu verpflichten, Einzelheiten über den Fehler öffentlich zu veröffentlichen, sagte aber, er habe seine Kunden in Verbindung gebracht, um der Produktanleitung zu folgen.
Mit Hirsch, der nicht bereit ist, den Fehler zu korrigieren, bleiben einige Gebäude – und seine Bewohner – wahrscheinlich freigelegt. Der Fehler zeigt, dass vergangene Produktentwicklungsoptionen möglicherweise Jahre später wieder Auswirkungen auf die reale Welt haben können.
