+43 699 / 18199463
office@itexperst.at

Notruf-Alarm-System immer noch angreifbar

Im Juli 2013 hatten Forscher auf die Schwachstellen im amerikanischen EAS (Emergency Alert System) hingewiesen. Dabei wurde erkannt, dass der Root-Zugang direkt über SSH erreichbar ist. Der SSH-Zugang ist nur über ein Default-Passwort gesichert und somit offen für böswillige Angriffe. Tatsächlich hatten Hacker im Februar falsche Zombie-Alarmmeldungen über vier Fernsehkanäle in Michigan und Montana verbreitet. Obwohl inzwischen ein Patch ausgegeben wurde, um einige der aufgezeigten Schwachstellen zu beheben, ist das System immer noch von außen angreifbar.

Das Patch war auf die Schwachstellen in den speziellen zeitbasierenden [US-CERT] VU#662676 Passwörtern ausgerichtet. Es war dafür bestimmt, ungeschützte SSH-Schlüssel zu entfernen und benutzergenerierte Passwörter zu korrigieren. Doch die Forscher stellten fest, dass die meisten der gepatchten Systeme, die mit 2.0-2 laufen, immer noch angreifbar sind. Nach genaueren Nachforschungen in den neuen Patches, wurden weitere Mängel gefunden, die weitere Anmeldedaten sowie eine Anzahl von vorhersehbaren eingebauten Schlüsseln und Passwörtern gefährdeten.

Potenzielle Angreifer können sich einfach in den Server einloggen – entweder mithilfe des fest einprogrammierten  Passworts oder unter Verwendung eines Default-Passworts für den Root-Zugang über SSH – und so eine Falschmeldung mit der Software generieren. Zusätzlich können Angreifer aber einfach eigene Zugangsdaten kreieren und sich mithilfe der Web-Schnittstelle einloggen, genauso wie alle anderen Anwender dies auch können.

Artikel von scmagazine.com, 18.10.2013: Alerts of „rising dead“ still exploitable on EAS

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen