Een onderzoeker heeft een ernstig lek in de wifi-netwerken van honderden hotels ontdekt waardoor een aanvaller de wifi-gateway volledig kan overnemen en gebruiken om bezoekers met malware te infecteren of de systemen van het hotel aan te vallen. De kwetsbaarheid bevindt zich in de ANTLabs InnGate, een populaire internetgateway voor hotels, congrescentra en andere plekken die tijdelijke wifi-toegang aanbieden.
Een kwetsbaarheid in de apparatuur zorgt ervoor dat een aanvaller op afstand volledige lees en schrijftoegang tot het bestandssysteem kan krijgen. Dit is eenvoudig te doen via een rsync daemon die op poort TCP 873 draait en geen inloggegevens vereist. Zodra een aanvaller verbinding met de rsync daemon maakt, die normaal voor het synchroniseren van bestanden en het maken van back-ups wordt gebruikt, kan hij onbeperkt bestanden op het bestandssysteem lezen en schrijven.
Zo is het mogelijk om een gebackdoorde versie van elk bestand te uploaden of een gebruiker met rootrechten toe te voegen. De ernst van het lek wordt vergroot doordat het zeer eenvoudig is om aan te vallen. Elk Linux- of Unixsysteem met het rsync-commando kan de aanval namelijk uitvoeren. Iets wat volgens onderzoeker
Brian Wallace, die het probleem ontdekte, via een paar toetsaanslagen is te doen.
AanvallenZodra een aanvaller de wifi-gateway heeft overgenomen kan hij onder andere gebruikers aanvallen. In het verleden zijn er
gerichte aanvallen ontdekt waarbij gebruikers van wifi-netwerken een melding kregen dat ze bijvoorbeeld Flash Player moesten updaten. Het ging dan om malware die via de wifi-gateway door de aanvallers werd aangeboden. Ook zou een aanvaller bestanden die gebruikers van het wifi-netwerk downloaden kunnen aanpassen en vervangen door malware.
Ook is het eenvoudig om de onversleutelde communicatie van gebruikers te onderscheppen. Daarnaast bleek dat de wifi-gateways in sommige gevallen in
Property Management Systemen (PMS) waren geïntegreerd. Deze systemen worden onder andere gebruikt voor hotelreserveringen, klantgegevens, salarisadministratie en nog veel meer zaken. Daarnaast kan één PMS voor en door meerdere locaties gebruikt. Door de integratie zou een aanvaller het PMS zelf kunnen aanvallen. Via de PMS zou het vervolgens mogelijk zijn om andere hotellocaties aan te vallen.
Wallace voerde een scan uit op internet en ontdekte 277 kwetsbare apparaten in 29 landen, waaronder Nederland. ANTLabs heeft gisteren een update voor het beveiligingslek uitgebracht. Het is echter onbekend of die door alle kwetsbare hotels al is geïnstalleerd. Systeembeheerders kunnen misbruik van de kwetsbaarheid ook voorkomen door internettoegang tot het Rsync-proces te blokkeren
Bron: Security.nl
Inloggen
Registreer
V&A
Zoek
