Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Lekken in Crestron-domoticacontrollers laten aanvaller apparaat overnemen

Op de Def Con-conferentie heeft een onderzoeker van het Japanse beveiligingsbedrijf Trend Micro verschillende kwetsbaarheden in Crestron-domoticacontrollers gepresenteerd, die een aanvaller de apparaten laten overnemen en bijvoorbeeld video laten streamen.

De onderzoeker, Ricky Lawshae, introduceerde Crestron als een systeem dat op veel plaatsen wordt gebruikt, zoals kantoren, universiteiten, hotels en vliegvelden. Ook zou Crestron in zijn communicatie vaker verwijzen naar een hechte samenwerking met Microsoft. Voor zijn onderzoek richtte hij zich op twee Crestron-apparaten, de MC3 en de TSW760. Daarbij is het eerste apparaat een controlesysteem op basis van Windows CE 6 en het tweede een Android-tablet dat als controller fungeert en Lollypop draait. Via een Shodan-zoekopdracht wist hij gemiddeld 20.000 to 23.000 Crestron-apparaten te vinden die direct op het internet waren aangesloten.

Dat leverde een probleem op toen hij erachter kwam dat er ongeautoriseerde toegang mogelijk was tot de zogenaamde ctp-console, waarbij ctp staat voor Crestron Terminal Protocol, iets dat voornamelijk door programmeurs wordt gebruikt. Hoewel er authenticatiemethodes beschikbaar waren, stonden deze in de meeste gevallen uit. Lawshae opperde dat dit wellicht met de complexiteit van de systemen te maken heeft. Een tweede constatering was dat hij na het inloggen op de apparaten meteen een beheerdersrol had, waardoor hij een groot aantal commando's kon uitvoeren. Bovendien waren er ongedocumenteerde commando's te vinden die buiten de sandbox draaiden waarin hij na het inloggen terechtkwam. Zo kon hij bijvoorbeeld een browser starten of audio opnemen op de Android-tablet.

Lawshae ontdekte bovendien twee backdoor-accounts voor engineers. De wachtwoorden daarvan waren gebaseerd op het mac-adres, waartoe hij toegang had via de ctp-console. Bovendien was het algoritme voor het aanmaken van het wachtwoord opgenomen in de firmware. De onderzoeker illustreerde dat hij met de aanwezige accounts op het Windows-systeem bijvoorbeeld het register kon aanpassen en elk willekeurig uitvoerbaar bestand buiten de sandbox kon uitvoeren. In een demo toonde hij hoe hij een telnet-shell aanmaakte die hem volledige toegang gaf tot het systeem.

Lawshae sloot af met de ontdekking van 22 command injection-kwetsbaarheden in de ctp-console op het Android-systeem, die het op afstand uitvoeren van code mogelijk maakten. Omdat hij maar beperkt de tijd had, zocht hij niet naar verdere lekken. In een laatste demo liet hij zien hoe hij op afstand de camera van de Android-controller inschakelde en toegang had tot de videostream. Daarbij merkte hij op dat dit product bijvoorbeeld ook in hotelkamers wordt gebruikt. Crestron heeft de gevonden lekken volgens de onderzoeker inmiddels gedicht. Hij merkte in zijn conclusie op dat het Android-systeem een stuk onveiliger leek dan de Windows-variant; hij speculeerde dat dit mogelijk te maken heeft met de relatie tot Microsoft en dat Crestron nog niet lang met Android werkt.

Beheerderstoegang na het verbinding maken met de console

Door Sander van Voorst

Nieuwsredacteur

11-08-2018 • 11:45

19 Linkedin Google+

Reacties (19)

Wijzig sortering
Wat hij er vergeet bij te zeggen is dat Crestron als enige in de industry enterprise grade security beschibaar heeft in zijn toestellen. Dit gaat van 802.1x tot active directory integration for authentication.

Crestron heeft documentatie beschikbaar, de security deployment guide, dat duidelijk laat zien hoe deze toestellen kunnen worden beveiligd. Alle attacks die beschreven zijn kunnen alleen uitgevoerd worden als er effectief toegang is tot een toestel zonder authentication.

Sinds 3 jaar biedt Crestron ook security training aan tijdens zijn jaarlijkse programming masters training. Hier bespreekt Crestron hoe belangrijk het is om authentication aan te zetten. (zo deze attacks ook niet mogelijk zijn).

Sinds paar jaar heeft Crestron ook een dedicated security council waar key persons van het Crestron development team in zitten. Deze personen kijken dagelijks welke security issues Crestron exposed zijn. Zij hebben ook bovenstaand report behandeld en zo snel mogelijk firmware fixes gemaakt. Op het Crestron knowledge database platform is een article waar Crestron duidelijk en open communiceert over deze issues. (en andere) Dit article is beschikbaar voor iedereen, niet alleen voor Crestron klanten. De issues besproken in dit artikel staan hier ook op.

Je hoort het waarschijnlijk, ik werk voor Crestron. Crestron is wereldwijd zeer goed vertegenwoordigd met kantoren en mensen. Als tweakers eens op de koffie wilt komen in ons kantoor in Gorinchem dan horen we het wel :) :)

[Reactie gewijzigd door ttts op 11 augustus 2018 14:53]

Fijn dat je een reactie durft te geven, maar het wekt de indruk dat Crestron het probleem niet helemaal snapt of wil snappen en daar een marketingpraatje van maakt.

De kwetsbaarheden zijn onder bepaalde omstandigheden te gebruiken. Dat maakt het probleem van het bestaan van de kwetsbaarheden niet minder. En juist daar ga je nauwelijks op in.
Wat hij er vergeet bij te zeggen is dat Crestron als enige in de industry enterprise grade security beschibaar heeft in zijn toestellen.
Hoe is die opmerking relevant? Blijkbaar kan Crestron dat wel aanbieden maar had het geen effect op het voorkomen en het bestaan van de lekken.
Crestron heeft documentatie beschikbaar, de security deployment guide, dat duidelijk laat zien hoe deze toestellen kunnen worden beveiligd.
Goede beveiliging hangt natuurlijk nooit af van een soort beveiliging. Het goed configureren en onderhouden bij de klant is zeker belangrijk. Maar dat gaat voor alle control systems op. Het is behoorlijk flauw van de onderzoeker om wat dat betreft specifiek Crestron aan te wijzen. Er hangt kwetsbare apparatuur van honderden fabrikanten/concurenten online die wat dat betreft het zelfde risico geven.

Maar het onderliggende probleem over Crestron is niet die beschikbaarheid, maar de vele problemen waar de klant nauwelijks invloed op heeft. De klant moet die beveiliging onder andere toepassen omdat er minimaal 22 command injection-kwetsbaarheden bleken te zijn, omdat er root rechten verkregen konden worden. omdat er backdoors in de software zaten waar een klant nooit over is ingelicht, omdat de wachtwoorden van die verborgen accounts niet sterk waren, omdat die accounts veel te veel rechten gaven, omdat er verborgen commando's waren waar de klant niets van wist, omdat er arbitrary file upload mogelijk was, omdat sommige beveiliging zoals het instellen van wachtwoorden op accounts niet standaard was.
Sinds paar jaar heeft Crestron ook een dedicated security council waar key persons van het Crestron development team in zitten. Deze personen kijken dagelijks welke security issues Crestron exposed zijn. Zij hebben ook bovenstaand report behandeld en zo snel mogelijk firmware fixes gemaakt
De 22 command injection kwetsbaarheden, de hidden commands of de backdoors waren schijnbaar niet heel moeilijk te vinden. Dat het een dedicated council is die al een paar jaar bestaat heeft schijnbaar nauwelijks bijgedragen om in de bestaande firmware dit soort basale problemen te herkennen en te verhelpen. Dus wat is de waarde van dat council als het tot actie komt als anderen de securitygebreken moeten vinden?

Begrijpelijk dat Crestron ook wil laten zien dat ze wel/ook aan beveiliging doen. Crestron zal vast heel veel ook goed of beter doen. Maar het is volkomen onterecht dat als deze fouten gevonden worden de fabrikant de focus probeert te verschuiven naar tal van randverschijnselen waar de klant iets had kunnen doen als ze maar gebruik hadden gemaakt van de diensten van de fabrikant. Dat is voor mij weinig meer dan marketing en afleiding van het onderliggende probleem bij de fabrikant.

[Reactie gewijzigd door kodak op 11 augustus 2018 17:46]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True