Miljoenen apparaten kwetsbaar door zelfde encryptiesleutels

[Captain Kirk]

Onderzoekers waarschuwen dat miljoenen apparaten op internet zoals routers, IP-camera's en modems kwetsbaar zijn doordat ze dezelfde encryptiesleutels gebruiken. Aanvallers kunnen hierdoor man-in-the-middle-aanvallen uitvoeren en versleuteld verkeer afluisteren en ontsleutelen.

Daardoor zou gevoelige informatie in verkeerde handen terecht kunnen komen. Het probleem speelt bij zogeheten embedded apparaten, waaronder routers, modems, IP-camera's en VoIP-telefoons. Onderzoekers van beveiligingsbedrijf SEC Consult bekeken voor hun onderzoek de firmware van meer dan 4.000 van dergelijke apparaten, afkomstig van meer dan 70 fabrikanten.

Er werd vooral gekeken naar cryptografische sleutels in de firmware, zoals publieke sleutels, privésleutels en certificaten. Het gaat dan vooral om sleutels die worden gebruikt om verbinding via SSH te maken en X.509-certificaten die voor HTTPS worden gebruikt. In totaal werden bij de ruim 4.000 onderzochte apparaten meer dan 580 unieke privésleutels aangetroffen.

Deze informatie werd vervolgens gecorreleerd met data van grootschalige internetscans. Daaruit kwam naar voren dat de dataset met de 580 unieke sleutels de privésleutels van 9% van alle HTTPS-hosts op het web bevat en de privésleutels van meer dan 6% van alle SSH-hosts. Tenminste 230 van de 580 sleutels werden actief gebruikt en op miljoenen hosts aangetroffen.

De sleutels worden door fabrikanten toegevoegd om verbinding via HTTPS en SSH aan te bieden. Het probleem is dat alle apparaten met de betreffende firmware dezelfde sleutels gebruiken. Opmerkelijk was dat dezelfde sleutels in de producten van verschillende fabrikanten werden aangetroffen. Een certificaat van Broadcom werd bijvoorbeeld in meer dan 480.000 apparaten op internet gevonden, onder andere van Linksys en ZyXEL. Het probleem speelt ook bij Cisco, Huawei, Ubiquiti Networks en andere fabrikanten. De kwetsbare apparaten staan vooral in de Verenigde Staten (26,3%) en Mexico (16,5%).

Oplossing

SEC Consult werkte samen met het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit om de betrokken fabrikanten alsmede browserontwikkelaars te waarschuwen. Inmiddels hebben sommige partijen updates uitgebracht. Fabrikanten krijgen daarnaast het advies om voor elk apparaat unieke cryptografische sleutels te gebruiken. Daarnaast moeten internetproviders ervoor zorgen dat remote toegang via de WAN-poort tot de apparatuur van hun abonnees niet mogelijk is. Als laatste krijgen eindgebruikers het advies om de generieke SSH-sleutels en X.509-certificaten op hun apparaten door unieke versies te vervangen. Het CERT/CC stelt echter dat in veel gevallen er geen praktische oplossing voorhanden is.

 

bron: security.nl