Abo
  • Services:
Anzeige
Eine Hintertür für Black Widow? Ein zusätzlicher Benutzeraccount in AMX-Konferenzsystemen gibt Rätsel auf.
Eine Hintertür für Black Widow? Ein zusätzlicher Benutzeraccount in AMX-Konferenzsystemen gibt Rätsel auf. (Bild: Marvel / Filmplakat)

AMX-Konferenzsysteme: Hintertür für Black Widow und Batman

Eine Hintertür für Black Widow? Ein zusätzlicher Benutzeraccount in AMX-Konferenzsystemen gibt Rätsel auf.
Eine Hintertür für Black Widow? Ein zusätzlicher Benutzeraccount in AMX-Konferenzsystemen gibt Rätsel auf. (Bild: Marvel / Filmplakat)

Erneut gerät eine Firma in den Verdacht, Hintertüren in Produkte eingebaut zu haben. Geräte der Firma AMX, die Technikausstattung für Konferenzräume entwickelt, enthielten versteckte Administratoraccounts mit Namen aus der Comicwelt.

Eine Hintertür für Black Widow, die Top-Agentin der Geheimorganisation Shield, und eine weitere für Batman? Was sich wie ein Scherz anhört, hat einen ernsten Hintergrund. Sicherheitsexperten der Firma SEC Consult fanden in Systemen der Firma AMX versteckte Administratoraccounts. Laut einer Sicherheitsempfehlung von AMX handelte es sich dabei um Debugging-Accounts, doch es wurden einige Bemühungen unternommen, den Accounts besondere Rechte zu geben und diese zu verstecken.

Anzeige

AMX entwickelt Systeme, welche die Audio- und Videoausstattung in Konferenzräumen steuern. Zu den Kunden von AMX gehören hochrangige Regierungseinrichtungen und Militärs, auf einem Foto ist US-Präsident Barack Obama vor einem Steuerungsbildschirm eines AMX-Systems zu sehen.

Funktion richtet "subtilen" Nutzeraccount ein

Auf einem Steuerungsgerät von AMX fanden die Forscher von SEC Consult eine ungewöhnliche Funktion mit dem Namen "setUpSubtleUserAccount". Diese Funktion legte einen Nutzeraccount mit dem Benutzernamen Black Widow mit einem fest eingestellten Passwort an. Black Widow ist der Name einer Top-Agentin aus diversen Marvel-Filmen und Comics.

Den Forschern von SEC Consult gelang es, sich mit dem Account im Webinterface und im Kommandozeileninterface dieses Systems einzuloggen. Der Nutzeraccount hatte zusätzliche Rechte, die normalen Administratoren nicht zur Verfügung stehen. So kann der Account Netzwerkpakete aufzeichnen. Weiterhin verhindert das System, dass andere Administratoren den Account sehen können. Alle Funktionen, die der Auflistung von Nutzeraccounts dienen, wurden so manipuliert, dass sie diesen Account nicht anzeigen.

Zunächst wandten sich die Sicherheitsexperten an den europäischen Vertrieb von AMX. Dort teilte man ihnen nach mehreren Monaten mit, dass eine neue Version der Firmware verfügbar sei, die das Problem behebe. Doch der unerwünschte Nutzeraccount war lediglich umbenannt worden und lautete nun "1MB@tMaN". Nach weiteren Kontaktversuchen mit AMX direkt und über das CERT/CC veröffentlichte AMX ein eigenes Advisory. Demnach sind 24 verschiedene Geräte betroffen.

Nur ein Debugging-Account?

Das Advisory von AMX spricht nicht von einer Sicherheitslücke, lediglich vom "Verbessern der Sicherheit" ist die Rede. Weiterhin erwähnt das Advisory, dass ein Debugging-Account entfernt worden sei. SEC Consult gibt an, dass sie das jüngste Update noch nicht geprüft hätten und nicht wüssten, ob die Hintertür entfernt worden sei. Die Passwörter hat SEC Consult nicht veröffentlicht, allerdings dürfte es für Kriminelle nicht allzu schwierig sein, mittels einer eigenen Analyse der entsprechenden Firmwares in deren Besitz zu gelangen. Nutzer von AMX-Systemen sollten die Updates schnellstmöglich einspielen - und hoffen, dass AMX die Extra-Accounts diesmal wirklich entfernt hat.

In der jüngsten Zeit gab es mehrere Vorfälle, bei denen mögliche Hintertüren in der Firmware von Hardware-Appliances entdeckt wurden. Bei Juniper wurden eine ganze Reihe unterschiedlicher Hintertüren gefunden. In älteren Fortinet-Firmwares wurde eine zusätzliche SSH-Authentifizierungsmethode mit einem statischen Passwort entdeckt. Fortinet bestritt, dass es sich dabei um eine Hintertür gehandelt habe. Auch Cisco musste kürzlich vermelden, dass in zahlreichen Geräten der Firma ein Login mit einem Standardpasswort möglich gewesen sei.


eye home zur Startseite
EvilSheep 24. Jan 2016

Tja, wahre Worte, aber die meisten Menschen glauben immernoch lieber an den...

Ingwar 22. Jan 2016

Exakt so wirds sein, ohne dass man auch nur eine Sache nachfragt :)

Kleba 22. Jan 2016

:D



Anzeige

Stellenmarkt
  1. Landesbetrieb IT.Niedersachsen, Hannover
  2. Robert Bosch GmbH, Leonberg
  3. ANITA Dr. Helbig GmbH, Brannenburg
  4. Swiss Post Solutions GmbH, Bamberg oder Hallstadt


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. 36,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von Bitdefender
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Mehr dazu im aktuellen Whitepaper von Freudenberg IT


  1. Jahresgehalt

    Erfahrene Softwareentwickler verdienen 55.500 Euro

  2. Sync 3

    Ford bringt Carplay und Android Auto in alle 2017er-Modelle

  3. Netzwerk

    Mehrere regionale Mobilfunkausfälle bei Vodafone

  4. Hello Games

    No Man's Sky braucht kein Plus und keine Superformel

  5. Master Key

    Hacker gelangen per Reverse Engineering an Gepäckschlüssel

  6. 3D-Druck

    Polizei will Smartphone mit nachgemachtem Finger entsperren

  7. Modesetting

    Debian und Ubuntu verzichten auf Intels X11-Treiber

  8. Elementary OS Loki im Test

    Hübsch und einfach kann auch kompliziert sein

  9. Mobilfunkausrüster

    Ericsson feuert seinen Konzernchef

  10. Neuer Algorithmus

    Google verkleinert App-Downloads aus dem Play Store



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Festplatten mit Flash-Cache: Das Konzept der SSHD ist gescheitert
Festplatten mit Flash-Cache
Das Konzept der SSHD ist gescheitert
  1. Ironwolf, Skyhawk und Barracuda Drei neue 10-TByte-Modelle von Seagate
  2. 3PAR-Systeme HPE kündigt 7,68- und 15,36-TByte-SSDs an
  3. Dells XPS 13 mit Ubuntu im Test Endlich ein Top-Notebook mit Linux!

Nuki Smart Lock im Test: Ausgesperrt statt aufgesperrt
Nuki Smart Lock im Test
Ausgesperrt statt aufgesperrt

Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Xiaomi Hugo Barra verkündet Premium-Smartphone
  2. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro
  3. Mi Band 2 Xiaomis neues Fitness-Armband mit Pulsmesser kostet 20 Euro

  1. Re: Als FISI dann einzige Möglichkeit ein Studium?

    Lemo | 22:01

  2. Re: Vollidiot

    narfomat | 22:00

  3. Re: Lieber mal das Darknet verbieten

    ip_toux | 21:59

  4. Re: Basisgehalt?

    crazypsycho | 21:59

  5. Brot und Spiele ... können beide verdammt...

    cicero | 21:58


  1. 18:35

  2. 17:31

  3. 17:19

  4. 15:58

  5. 15:15

  6. 14:56

  7. 12:32

  8. 12:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel