Invadindo dezenas de prédios de apartamentos em cinco minutos com um celular

 (ericdaigle.ca)
1 pontos por GN⁺ 2025-02-25 | 1 comentários | Compartilhar no WhatsApp
  • Alguns meses atrás, o autor estava indo pegar o SeaBus quando passou por um prédio de apartamentos com um painel de controle de acesso interessante.
  • Anotou a marca "MESH by Viscount" e começou a procurar informações pelo celular.

Parte 0: Exploração

  • Ao pesquisar no Google o nome do sistema, encontrou uma página de vendas anunciando recursos TCP/IP para programar e manter o sistema remotamente.
  • Ao buscar por "mesh by viscount" filetype:pdf, encontrou um guia de instalação que explica que as credenciais padrão devem ser alteradas, mas não diz como fazer isso.
  • Descobriu que o título da página de login da interface web é "FREEDOM Administration Login".

Parte 1: Vazamento de dados pessoais

  • Expor o painel à internet já é algo imprudente, mas foi possível acessar o sistema com as credenciais padrão.
  • Na seção de usuários, era possível ver o mapeamento entre nomes completos dos moradores e números das unidades, e o endereço do prédio era usado como título do site.
  • Na seção de eventos, era possível verificar registros de acesso ligados a números específicos de unidades.
  • A seção de usuários também expunha os números de telefone de todos os moradores.

Parte 2: Invasão

  • Além do vazamento de dados pessoais, também era possível acessar a seção de áreas controladas para cadastrar novos FOBs de acesso ou desativar os existentes.
  • Pela função de override, era possível destrancar qualquer entrada.

Parte 3: Quão disseminado isso está?

  • Para verificar se o fato de as credenciais padrão funcionarem logo no primeiro resultado era apenas sorte, o autor usou o ZoomEye para escanear mais sistemas.
  • Usou um template do Nuclei para verificar a vulnerabilidade dos sistemas.
  • No total, encontrou 89 resultados, e 43% dos sistemas expostos no ZoomEye no último ano estavam vulneráveis.
  • A maioria dos sistemas expostos estava localizada no Canadá.

Linha do tempo

  • 2024-12-20: Vulnerabilidade descoberta
  • 2024-12-27: Contato com a Hirsch, atual fornecedora do MESH
  • 2025-01-09: Contato com o CEO da Identiv, antiga fornecedora do MESH
  • 2025-01-11: A equipe de segurança de produtos da Hirsch pediu detalhes e perguntou se havia planos de avisar os clientes
  • 2025-01-29: A Hirsch respondeu que sistemas que não tiveram a senha padrão alterada estão vulneráveis
  • 2025-01-30: Pedido de atualização sobre se os clientes que operam sistemas vulneráveis foram avisados (sem resposta até o momento da publicação)
  • 2025-02-14: CVE-2025-26793 atribuído
  • 2025-02-15: Publicação

Leituras relacionadas

1 comentários

 
GN⁺ 2025-02-25
Comentários do Hacker News

  • Eu estava com um entregador da Amazon a caminho de visitar um amigo em um condomínio fechado. Não sabíamos o código de acesso do portão, mas ele era um entregador da Amazon

    • "Vamos ver se consigo fazer a gente entrar", disse ele, saiu do carro, olhou o painel de acesso e digitou alguns números; o portão se abriu
    • Muitos condomínios fechados e complexos de apartamentos recebem encomendas da Amazon e de outros serviços de entrega, mas não fornecem um meio de entrada para os entregadores. No fim, algum entregador frustrado com o código acaba anotando-o ao lado do painel de acesso para que todos possam usá-lo
    • "Apartamentos são terríveis", disse ele, acrescentando: "campi universitários são o sofrimento da nossa existência. Você acharia que universitários seriam espertos com esse tipo de coisa, mas eles são os piores"

  • Se estou lendo isto corretamente, trata-se das áreas "comuns" do apartamento, não da porta da unidade em si. Há uma grande diferença entre ter acesso a essas duas coisas

  • Hirsch respondeu que esses sistemas vulneráveis não seguem a recomendação do fabricante de alterar a senha padrão

    • A recomendação do fabricante é inaceitável. O sistema deveria exigir uma senha de segurança diferente da padrão antes de ser colocado em uso

  • Em SF, alguém já descobriu o código de acesso de administrador de interfones antigos de apartamentos (supostamente fabricados pela Linear e outras empresas). Esses interfones ligavam para um número de telefone programado quando você digitava o código de acesso do apartamento na porta

    • Então eles adicionaram um falso inquilino com um número premium 1-900 e usaram o interfone para fazer chamadas, ganhando um pouco de dinheiro. Naturalmente, os proprietários acabavam pagando a conta

  • A segurança da Viscount é risivelmente ruim. Quando eu morava em Toronto, morei em um prédio que controlava o acesso com chaveiros infravermelhos da Viscount. Não era mais seguro do que um controle remoto de TV; não havia rolling code nem criptografia. Um atacante podia sentar nas proximidades com um receptor IR, coletar os códigos dos chaveiros de todo mundo e obter acesso a todos os andares

    • Nem preciso dizer que me mudei

  • 2025-01-29: Hirsch respondeu que esses sistemas vulneráveis não seguem a recomendação do fabricante de alterar a senha padrão

    • Ah, claro. O problema são as crianças

  • Sempre me perguntei: como tudo vai parar no Google? As pessoas enviam links, ou um link público apontando para isso já basta?

  • Depois de assistir a muitas séries de TV, minha esposa, que não é técnica, concluiu que os sistemas reais são fáceis de hackear: basta usar 'bypasspassword', 'ignorepassword' ou 'password' como senha

    • Parece que ela está quase certa

  • Rimos daquela cena em filmes de Hollywood em que o protagonista diz ao amigo hacker: "Me põe dentro desse prédio. Rápido." e o amigo responde: "Só um segundo. Pronto." Clique! A porta se abre

  • Invadir um prédio de apartamentos em 30 segundos, sem telefone:

    • Fique ao lado do interfone com uma sacola de papel pardo (entrega de comida) na mão e finja apertar botões. Quando alguém entrar ou sair, siga a pessoa e diga "obrigado". Nove em cada dez vezes, ela vai abrir a porta para você