Vidéo: Les bronches en scanner pour les internes (Novembre 2024)
Combien de personnes ont entendu le Black Hat parler des comptes détournés présents dans les scanners utilisés par de nombreux aéroports aux États-Unis et se sont dit: "Comment vais-je pouvoir rentrer à la maison après cela?" Je sais que j'ai fait.
Un grand nombre des machines déployées aux points de contrôle de la sécurité des aéroports ont des comptes intégrés avec des mots de passe par défaut qui peuvent être utilisés de manière abusive, a déclaré Billy Rios, directeur des informations sur les menaces chez Qualys, lors de la conférence Black Hat mercredi. Dans ce cas, le problème est que les attaquants pourraient utiliser les comptes en tant que porte dérobée pour accéder au système.
Les comptes intégrés sur les scanners n'ont pas été ajoutés en tant que portes dérobées malveillantes. Les fabricants aiment créer des comptes incorporés avec des mots de passe codés en dur à des fins de maintenance et de support. Bien que pratique, ces comptes posent des problèmes lorsque les administrateurs ne savent même pas qu'ils existent et ne peuvent même pas changer les mots de passe.
Rios a constaté que certains de ces scanners d'aéroport pouvaient être consultés à partir d'Internet public. Combinez le fait que ces systèmes ont été exposés et que les comptes de porte dérobée avaient des mots de passe par défaut codés en dur, et les conséquences sont un peu effrayantes. Si l'attaquant a accès au scanner à distance, peut-il manipuler les résultats du test?
Cette présentation était basée sur le système Morpho Detection Itemiser 3, un système de détection d’explosifs et de résidus utilisé pour rechercher des traces de stupéfiants et d’explosifs sur les bagages, ainsi que sur le système de pointage Kronos 4500. Rios a détecté environ 6 000 systèmes Kronos sur l’Internet public, mais heureusement, seuls deux ont été déployés dans les aéroports. L'un a été retiré et l'autre est toujours en ligne et utilisé, a déclaré Rios.
Le 24 juillet, ICS-CERT du ministère de la Sécurité des États-Unis a publié un avis concernant la faille Itemiser.
L’autre aspect déconcertant de la discussion était le fait que la Transportation and Security Agency n’avait pas validé les caractéristiques du produit ni vérifié que le système fonctionnait tel que commercialisé. Les hôpitaux incluent des évaluations de sécurité dans le cadre du processus d’acquisition. Pourquoi est-ce que cela ne se produit pas avec la TSA?
"C'est ce que j'aimerais que TSA fasse. Regardez avant d'accepter un produit et recherchez un mot de passe de porte dérobée sans compter sur la bonne volonté des fournisseurs" pour changer le mot de passe, a déclaré Rios.
