Đột nhập vào hàng chục tòa chung cư chỉ trong 5 phút bằng điện thoại

 (ericdaigle.ca)
1 điểm bởi GN⁺ 2025-02-25 | 1 bình luận | Chia sẻ qua WhatsApp
  • Vài tháng trước, khi đang trên đường đi đón SeaBus, tác giả đi ngang qua một tòa chung cư có bảng điều khiển kiểm soát ra vào khá thú vị.
  • Ghi lại tên thương hiệu "MESH by Viscount" và bắt đầu tra cứu thông tin bằng điện thoại.

Phần 0: Khảo sát

  • Tìm kiếm tên hệ thống trên Google và phát hiện một trang bán hàng quảng bá tính năng TCP/IP cho phép lập trình và bảo trì hệ thống từ xa.
  • Tìm kiếm "mesh by viscount" filetype:pdf để tìm hướng dẫn cài đặt; tài liệu nói rằng cần thay đổi thông tin đăng nhập mặc định, nhưng không giải thích cách thay đổi.
  • Nhận ra tiêu đề của trang đăng nhập web UI là "FREEDOM Administration Login".

Phần 1: Rò rỉ thông tin cá nhân

  • Việc phơi hệ thống bảng điều khiển ra Internet là một quyết định rất tệ, và tác giả có thể truy cập hệ thống bằng thông tin đăng nhập mặc định.
  • Trong mục người dùng, có thể đối chiếu họ tên đầy đủ của cư dân với số căn hộ, và địa chỉ tòa nhà được dùng làm tiêu đề của site.
  • Trong mục sự kiện, có thể xem lịch sử ra vào gắn với các số căn hộ cụ thể.
  • Mục người dùng cũng làm lộ số điện thoại của toàn bộ cư dân.

Phần 2: Đột nhập

  • Ngoài việc lộ thông tin cá nhân, còn có thể truy cập mục khu vực được kiểm soát để đăng ký FOB ra vào mới hoặc vô hiệu hóa FOB hiện có.
  • Thông qua chức năng override, có thể mở khóa bất kỳ cửa ra vào nào.

Phần 3: Mức độ phổ biến đến đâu?

  • Để kiểm tra xem việc thông tin đăng nhập mặc định hoạt động ngay ở kết quả đầu tiên có phải chỉ là may mắn hay không, tác giả dùng ZoomEye để quét thêm nhiều hệ thống.
  • Dùng template Nuclei để kiểm tra tính dễ bị tấn công của các hệ thống.
  • Phát hiện tổng cộng 89 kết quả, và 43% số hệ thống đã bị ZoomEye nhìn thấy trong 1 năm gần đây là dễ bị tấn công.
  • Phần lớn các hệ thống bị lộ nằm ở Canada.

Dòng thời gian

  • 2024-12-20: Phát hiện lỗ hổng
  • 2024-12-27: Liên hệ với Hirsch, nhà cung cấp hiện tại của MESH
  • 2025-01-09: Liên hệ với CEO của Identiv, nhà cung cấp trước đây của MESH
  • 2025-01-11: Nhóm bảo mật sản phẩm của Hirsch yêu cầu thêm chi tiết và hỏi liệu có kế hoạch thông báo cho khách hàng hay không
  • 2025-01-29: Hirsch phản hồi rằng các hệ thống không đổi mật khẩu mặc định là dễ bị tấn công
  • 2025-01-30: Yêu cầu cập nhật về việc đã thông báo cho khách hàng đang vận hành các hệ thống dễ bị tấn công hay chưa (đến thời điểm đăng vẫn chưa có phản hồi)
  • 2025-02-14: Được gán CVE-2025-26793
  • 2025-02-15: Đăng bài

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-02-25
Ý kiến trên Hacker News

  • Tôi từng đi cùng một tài xế giao hàng Amazon đến một khu dân cư có cổng để thăm bạn. Chúng tôi không biết mã vào cổng, nhưng anh ấy là tài xế giao hàng Amazon

    • Anh ấy nói: "Để xem tôi có thể đưa chúng ta vào được không", rồi bước ra khỏi xe, nhìn bảng điều khiển truy cập, nhập vài con số và cổng mở ra
    • Nhiều khu dân cư có cổng và khu căn hộ đặt hàng qua Amazon và các dịch vụ giao hàng khác, nhưng lại không cung cấp cách để tài xế giao hàng vào được. Kết quả là một tài xế bực bội vì mã truy cập đã viết mã đó cạnh bảng điều khiển để ai cũng dùng được
    • Anh ấy nói: "Các khu căn hộ thật khủng khiếp", rồi nói thêm: "Khuôn viên đại học là nỗi đau tồn tại của chúng tôi. Bạn nghĩ sinh viên đại học sẽ thông minh về mấy thứ này, nhưng họ là tệ nhất"

  • Nếu tôi đọc đúng nội dung này, thì đây là nói về các khu vực "chung" của tòa nhà căn hộ, chứ không phải cửa của từng căn hộ riêng. Có sự khác biệt rất lớn giữa việc tiếp cận hai loại này

  • Hirsch trả lời rằng các hệ thống dễ bị tấn công này không tuân theo khuyến nghị của nhà sản xuất về việc thay đổi mật khẩu mặc định

    • Khuyến nghị của nhà sản xuất là không thể chấp nhận được. Họ phải bắt buộc đặt mật khẩu bảo mật không phải mặc định trước khi hệ thống được đưa vào sử dụng

  • Ở SF, từng có người phát hiện ra mã truy cập quản trị của các hệ thống intercom cũ trong chung cư (được cho là do Linear và các công ty khác sản xuất). Những hệ thống intercom này sẽ gọi đến số điện thoại đã được lập trình khi bạn nhập mã truy cập căn hộ ở cửa

    • Vì vậy họ thêm một cư dân giả với số 1-900 tính phí cao cấp, rồi dùng intercom để gọi đến đó và kiếm được chút tiền. Dĩ nhiên chủ nhà là người phải trả hóa đơn

  • Bảo mật của Viscount tệ đến mức nực cười. Khi sống ở Toronto, tôi ở trong một tòa nhà dùng thẻ IR của Viscount để kiểm soát ra vào. Nó còn không an toàn hơn điều khiển TV; không có rolling code, cũng không có mã hóa. Kẻ tấn công chỉ cần ngồi gần đó với bộ thu IR để thu mã thẻ của mọi người và vào được mọi tầng

    • Khỏi phải nói, tôi đã chuyển đi

  • 2025-01-29: Hirsch trả lời rằng các hệ thống dễ bị tấn công này không tuân theo khuyến nghị của nhà sản xuất về việc thay đổi mật khẩu mặc định

    • À, ra là vậy. Lỗi là do bọn trẻ con

  • Tôi luôn thắc mắc: làm sao mọi thứ đều lên được Google? Là do ai đó gửi liên kết, hay có một liên kết công khai trỏ tới nó?

  • Sau khi xem rất nhiều phim truyền hình, người vợ không rành kỹ thuật của tôi đi đến kết luận rằng các hệ thống ngoài đời thực rất dễ hack: chỉ cần dùng 'bypass password', 'override password', hoặc 'password' làm mật khẩu

    • Có vẻ như cô ấy gần đúng

  • Chúng tôi cười khi trong phim Hollywood, nhân vật chính nói với người bạn hacker kiểu: "Cho tôi vào tòa nhà này. Nhanh lên." và người bạn đáp: "Chờ chút. Xong rồi." rồi click! cửa mở

  • Đột nhập vào tòa nhà căn hộ trong 30 giây mà không cần điện thoại:

    • Cầm một túi giấy nâu (giao đồ ăn), đứng cạnh intercom và giả vờ bấm nút. Khi có ai đó đi vào hoặc đi ra thì đi theo sau và nói "Cảm ơn". 9 trên 10 lần họ sẽ giữ cửa cho bạn