携帯電話で5分で数十棟のアパート建物に侵入する

 (ericdaigle.ca)
1 ポイント 投稿者 GN⁺ 2025-02-25 | 1件のコメント | WhatsAppで共有
  • 数か月前、筆者はSeaBusに乗りに行く途中、興味深い入退室管理パネルのあるアパート建物の前を通りかかった。
  • 「MESH by Viscount」というブランド名を記録し、携帯電話で情報を調べ始めた。

Part 0: 調査

  • システム名をGoogle検索すると、TCP/IP機能によってシステムをリモートでプログラムおよび保守できることを宣伝する販売ページが見つかった。
  • 「mesh by viscount filetype:pdf」で検索して設置ガイドを見つけたが、デフォルト認証情報は変更すべきだと説明されている一方で、変更方法の説明はなかった。
  • Web UIのログインページのタイトルが「FREEDOM Administration Login」であることが分かった。

Part 1: 個人情報漏えい

  • パネルをインターネットに公開するのは愚かなことだが、デフォルト認証情報でシステムにアクセスできてしまった。
  • ユーザーセクションでは、居住者のフルネームと部屋番号の対応関係が見られ、建物の住所がサイトタイトルとして使われていた。
  • イベントセクションでは、特定の部屋番号に関連する入退室記録を確認できる。
  • ユーザーセクションには、すべての居住者の電話番号も公開されていた。

Part 2: 侵入

  • 個人情報漏えいにとどまらず、制御エリアのセクションにアクセスして、新しい入退室FOBを登録したり既存のものを無効化したりできた。
  • オーバーライド機能により、どの出入口でも解錠できる。

Part 3: どれほど広く普及しているのか?

  • デフォルト認証情報が最初の結果で機能したのが単なる幸運だったのかを確かめるため、ZoomEyeを使ってさらに多くのシステムをスキャンした。
  • Nucleiテンプレートを使ってシステムの脆弱性を確認した。
  • 合計89件のヒットが見つかり、直近1年間にZoomEyeで露出していたシステムのうち43%が脆弱だった。
  • 露出していたシステムの大半はカナダに所在していた。

タイムライン

  • 2024-12-20: 脆弱性を発見
  • 2024-12-27: MESHの現行ベンダーであるHirschに連絡
  • 2025-01-09: MESHの旧ベンダーであるIdentivのCEOに連絡
  • 2025-01-11: Hirschの製品セキュリティチームが詳細を求め、顧客へ通知する計画があるか問い合わせ
  • 2025-01-29: Hirschは、デフォルトパスワードを変更していないシステムが脆弱であると回答
  • 2025-01-30: 脆弱なシステムを運用している顧客へ通知したか更新を依頼(掲載時点まで応答なし)
  • 2025-02-14: CVE-2025-26793 を割り当て
  • 2025-02-15: 公開

関連記事

1件のコメント

 
GN⁺ 2025-02-25
Hacker Newsの意見

  • 友人を訪ねるためゲーテッド・コミュニティに向かう途中、Amazonの配達員と一緒になった。私たちはゲートのアクセスコードを知らなかったが、その人はAmazonの配達員だった

    • 「中に入れるか試してみるよ」と言って車を降り、アクセスパネルを確認していくつか数字を入力すると、ゲートが開いた
    • 多くのゲーテッド・コミュニティやアパート複合施設では、Amazonや他の配送サービスで物を注文しているのに、配達員に入る方法を提供していない。結局、コードにうんざりした配達員がアクセスパネルの横にコードを書き残し、誰でも使えるようにしてしまう
    • 「アパートはひどい」と言い、「大学キャンパスは存在そのものが苦痛だ。大学生ならこういうことに賢いと思うだろうが、最悪だ」と付け加えた

  • これを正しく読んでいるなら、これはアパートの「共用」エリアの話であって、実際の各住戸のドアの話ではない。この2つへのアクセスには大きな違いがある

  • Hirschは、こうした脆弱なシステムはメーカーのデフォルトパスワード変更勧告に従っていないのだと答えた

    • メーカーの勧告では不十分だ。システム使用前に、デフォルトではない安全なパスワードを必須にすべきだ

  • サンフランシスコでは、誰かが古いアパート用インターホンの管理者アクセスコードを突き止めたことがあった(Linearや他社製と推定される)。このインターホンは、ドアでアパートのアクセスコードを入力すると、登録された電話番号に発信していた

    • そこでその人たちは、プレミアム1-900番号を持つ偽の入居者を追加し、インターホンからそこへ電話をかけて少し金を稼いでいた。もちろん費用は大家が負担することになった

  • Viscountのセキュリティは笑ってしまうほどひどい。トロントに住んでいたとき、Viscountの赤外線フォブで入退室管理している建物に住んでいた。TVのリモコンより安全ではなかった。ローリングコードもなく、暗号化もなかった。攻撃者は近くに座ってIR受信機で全員のフォブコードを収集し、すべての階にアクセスできた

    • 言うまでもなく、私は引っ越した

  • 2025-01-29: Hirschは、こうした脆弱なシステムはメーカーのデフォルトパスワード変更勧告に従っていないのだと答えた

    • ああ、なるほど。悪いのは子どもたちだと

  • いつも疑問だった: どうやってすべてがGoogleに載るのか? リンクを投稿するのか、それとも公開リンクがそれに接続されるのか?

  • 多くのTVシリーズを見た結果、技術に詳しくない妻は、実際のシステムは簡単にハックできると結論づけた: 「パスワードをスキップ」「パスワードを無視」するか、あるいはパスワードに「password」を使えばいいだけだと

    • 彼女はほぼ正しいようだ

  • ハリウッド映画で、主人公がハッカー仲間に「この建物に入れるようにしてくれ。早く」と言い、友人が「ちょっと待って。できた」と言って、カチッ! とドアが開く場面を見て私たちは笑う

  • 電話なしで30秒でアパートの建物に侵入する方法:

    • 茶色の紙袋(フードデリバリー)を持ってインターホンの横に立ち、ボタンを押すふりをする。誰かが出入りするときに後ろについて行き、「ありがとう」と言う。10回中9回はドアを開けてくれる