Ein Sicherheitsforscher sagt, dass das Standardkennwort, das in einem weit verbreiteten Tür -Zugangskontrollsystem ausgestattet ist, jedem und aus der Ferne auf Türschlösser und Aufzugssteuerungen in Dutzenden von Gebäuden in den USA und Kanada zugreifen kann.
Hirsch, das Unternehmen, das jetzt das Enterphone Mesh Door Access -System besitzt, repariert die Sicherheitsanfälligkeit nicht und sagt, dass der Fehler im Entwurf ist und dass die Kunden den Einrichtungsanweisungen des Unternehmens verfolgt und das Standardkennwort geändert haben.
Dadurch werden Dutzende von freiliegenden Wohn- und Bürogebäuden in ganz Nordamerika zurückgelegt, die das Standardkennwort ihres Zugangskontrollsystems noch nicht geändert haben oder nicht wissen, dass sie es sollten. Laut Eric Daigleder die Dutzenden von exponierten Gebäuden fand.
Standardkennwörter sind weder ungewöhnlich noch ein Geheimnis in mit Internet verbundenen Geräten. Mit Produkten versandte Passwörter sind in der Regel so konzipiert, dass die Anmeldeinzugriff für den Kunden vereinfacht wird, und finden sich häufig in ihrer Bedienungsanleitung. Verweist jedoch darauf, dass ein Kunden ein Standardkennwort ändern, um künftige böswillige Zugriffe zu verhindern klassifiziert immer noch als Sicherheitsanfälligkeit innerhalb des Produkts selbst.
Bei Hirsch -Türeintragsprodukten werden Kunden, die das System installieren, nicht aufgefordert oder erforderlich, um das Standardkennwort zu ändern.
Daher wurde Daigle die Entdeckung des Sicherheitsfehler CVE-2025-26793.
Keine geplante Lösung
Standardkennwörter waren seit langem ein Problem für mit Internet verbundene Geräte, sodass böswillige Hacker die Passwörter verwenden können, um sich so anzumelden, als wären sie der rechtmäßige Eigentümer und stehlen Daten, oder die Geräte entführen, um ihre Bandbreite für das Starten von Cyberangriffen zu nutzen. In den letzten Jahren haben die Regierungen versucht, die Technologiehersteller von unsicheren Standardkennwörtern zu verwenden, da sie die von ihnen bestehenden Sicherheitsrisiken haben.
Im Fall von Hirschs Türeingangssystem wird der Fehler auf die Schweregradskala der Sicherheitsanfälligkeit als 10 von 10 bewertet, dank der Leichtigkeit, mit der jemand es ausnutzen kann. Praktisch gesehen ist die Nutzung des Fehlers so einfach wie das Standardkennwort des Installationshandbuchs des Systems auf der Hirsch-Website zu nehmen und das Kennwort auf die Anmeldeseite des Internets auf dem System eines betroffenen Gebäudes zu stecken.
In Ein Blog -BeitragDaigle sagte, er habe letztes Jahr die Verwundbarkeit gefunden, nachdem er eines der von Hirsch hergestellten Enterphone-Mesh-Türeingangskollektoren in einem Gebäude in seiner Heimatstadt Vancouver entdeckt hatte. Daigle verwendete die Internet-Scan-Site Zoomeye, um nach Enterphone-Netzsystemen zu suchen, die mit dem Internet verbunden waren, und fand 71 Systeme, die sich weiterhin auf die standardmäßigen Anmeldeinformationen stützten.
DAIGLE Laut dem Standardkennwort ermöglicht der Zugriff auf das webbasierte Backend-System von Mesh, mit dem Gebäudemanager den Zugriff auf Aufzüge, Gemeinschaftsbereiche sowie Büro- und Wohnentürschlösser verwalten. Jedes System zeigt die physische Adresse des Gebäudes mit installiertem Netzwerksystem an, sodass sich jeder angemeldet hat, auf welches Gebäude er Zugang hat.
Daigle sagte, es sei möglich, in wenigen Minuten effektiv in einen der Dutzenden betroffener Gebäude einzudringen, ohne Aufmerksamkeit zu erregen.
Tech hat interveniert, weil Hirsch nicht über die Mittel wie eine Offenlegungsseite für Schwachstellen verfügt, damit Mitglieder der Öffentlichkeit wie Daigle dem Unternehmen einen Sicherheitsfehler melden können.
Mark Allen, CEO von Hirsch, antwortete nicht auf die Anfrage von Tech nach Kommentar, sondern auf einen leitenden Hirsch -Produktmanager, der Tech mitteilte, dass die Verwendung von Standardkennwörtern durch das Unternehmen „veraltet“ ist (ohne zu sagen, wie). Der Produktmanager sagte, es sei „gleichermaßen besorgniserregend“, dass es Kunden gibt, die „Systeme installiert haben und nicht den Empfehlungen der Hersteller folgen“ und sich auf die eigenen Installationsanweisungen von Hirsch beziehen.
Hirsch würde sich nicht dazu verpflichten, Einzelheiten über den Fehler öffentlich offenzulegen, sondern sagte, es habe seine Kunden in Verbindung gebracht, um der Bedienungsanleitung des Produkts zu folgen.
Da Hirsch nicht bereit ist, den Fehler zu beheben, bleiben einige Gebäude – und deren Bewohner – wahrscheinlich freigelegt. Der Fehler zeigt, dass die Produktentwicklungsauswahl von gestern Jahre später wieder reale Implikationen erhalten kann.