Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 26/11/2015
Udviklere af routere, webkameraer og andet udstyr genbruger ofte sikkerhedscertifikater og nøgler. Det giver risiko for man-in-the-middle-angreb og andre brud på sikkerheden.Sikkerhedsfirmaet Sec Consult har analyseret firmwaren til over 4.000 apparater fra over 70 leverandører. De fandt, at mange enheder er udstyret med de samme X.509-certifikater eller SSH host keys.
I datasættet fandt de private nøgler til over ni procent af alle HTTPS-servere på nettet og til over seks procent af alle SSH-servere.
Årsagen er i mange tilfælde, at producenterne bruger softwareeksempler fra de firmaer, der leverer chips til dem. De ændrer ikke på koden, heller ikke når den anvender certifikater.
Således bruger over 480.000 enheder et certifikat udstedt til en medarbejder ved chipfirmaet Broadcom. Et certifikat udstedt til Multitech optræder i over 300.000 apparater.
Sårbarhederne giver angribere mulighed for at få fat i fortrolig information såsom brugernavn og password for administratorkontoen. Angreb er lette at udføre, hvis angriberen er på samme lokalnet som offeret. Det er væsentligt sværere at udføre angreb over internettet, skriver Sec Consult.
Anbefaling
Udskift SSH-nøgler og X.509-certifikater til unikke i stedet for generelle, hvis det er muligt. Slå fjernadministration via internettet (WAN) fra.
Links
- House of Keys: Industry-Wide HTTPS Certificate and SSH Key Reuse Endangers Millions of Devices Worldwide, blogindlæg fra Sec Consult
- Lazy IoT, router makers reuse skeleton keys over and over in thousands of devices new study, artikel fra The Register
- Reuse of Cryptographic Keys Exposes Millions of IoT Devices: Study, artikel fra SecurityWeek