• IT-Karriere:
  • Services:

AMX-Konferenzsysteme: Hintertür für Black Widow und Batman

Erneut gerät eine Firma in den Verdacht, Hintertüren in Produkte eingebaut zu haben. Geräte der Firma AMX, die Technikausstattung für Konferenzräume entwickelt, enthielten versteckte Administratoraccounts mit Namen aus der Comicwelt.

Artikel veröffentlicht am , Hanno Böck
Eine Hintertür für Black Widow? Ein zusätzlicher Benutzeraccount in AMX-Konferenzsystemen gibt Rätsel auf.
Eine Hintertür für Black Widow? Ein zusätzlicher Benutzeraccount in AMX-Konferenzsystemen gibt Rätsel auf. (Bild: Marvel / Filmplakat)

Eine Hintertür für Black Widow, die Top-Agentin der Geheimorganisation Shield, und eine weitere für Batman? Was sich wie ein Scherz anhört, hat einen ernsten Hintergrund. Sicherheitsexperten der Firma SEC Consult fanden in Systemen der Firma AMX versteckte Administratoraccounts. Laut einer Sicherheitsempfehlung von AMX handelte es sich dabei um Debugging-Accounts, doch es wurden einige Bemühungen unternommen, den Accounts besondere Rechte zu geben und diese zu verstecken.

Stellenmarkt
  1. INIT Group, Karlsruhe, Braunschweig
  2. Elite Consulting Network Group über Elite Consulting Personal & Management Solutions GmbH, Essen

AMX entwickelt Systeme, welche die Audio- und Videoausstattung in Konferenzräumen steuern. Zu den Kunden von AMX gehören hochrangige Regierungseinrichtungen und Militärs, auf einem Foto ist US-Präsident Barack Obama vor einem Steuerungsbildschirm eines AMX-Systems zu sehen.

Funktion richtet "subtilen" Nutzeraccount ein

Auf einem Steuerungsgerät von AMX fanden die Forscher von SEC Consult eine ungewöhnliche Funktion mit dem Namen "setUpSubtleUserAccount". Diese Funktion legte einen Nutzeraccount mit dem Benutzernamen Black Widow mit einem fest eingestellten Passwort an. Black Widow ist der Name einer Top-Agentin aus diversen Marvel-Filmen und Comics.

Den Forschern von SEC Consult gelang es, sich mit dem Account im Webinterface und im Kommandozeileninterface dieses Systems einzuloggen. Der Nutzeraccount hatte zusätzliche Rechte, die normalen Administratoren nicht zur Verfügung stehen. So kann der Account Netzwerkpakete aufzeichnen. Weiterhin verhindert das System, dass andere Administratoren den Account sehen können. Alle Funktionen, die der Auflistung von Nutzeraccounts dienen, wurden so manipuliert, dass sie diesen Account nicht anzeigen.

Zunächst wandten sich die Sicherheitsexperten an den europäischen Vertrieb von AMX. Dort teilte man ihnen nach mehreren Monaten mit, dass eine neue Version der Firmware verfügbar sei, die das Problem behebe. Doch der unerwünschte Nutzeraccount war lediglich umbenannt worden und lautete nun "1MB@tMaN". Nach weiteren Kontaktversuchen mit AMX direkt und über das CERT/CC veröffentlichte AMX ein eigenes Advisory. Demnach sind 24 verschiedene Geräte betroffen.

Nur ein Debugging-Account?

Das Advisory von AMX spricht nicht von einer Sicherheitslücke, lediglich vom "Verbessern der Sicherheit" ist die Rede. Weiterhin erwähnt das Advisory, dass ein Debugging-Account entfernt worden sei. SEC Consult gibt an, dass sie das jüngste Update noch nicht geprüft hätten und nicht wüssten, ob die Hintertür entfernt worden sei. Die Passwörter hat SEC Consult nicht veröffentlicht, allerdings dürfte es für Kriminelle nicht allzu schwierig sein, mittels einer eigenen Analyse der entsprechenden Firmwares in deren Besitz zu gelangen. Nutzer von AMX-Systemen sollten die Updates schnellstmöglich einspielen - und hoffen, dass AMX die Extra-Accounts diesmal wirklich entfernt hat.

In der jüngsten Zeit gab es mehrere Vorfälle, bei denen mögliche Hintertüren in der Firmware von Hardware-Appliances entdeckt wurden. Bei Juniper wurden eine ganze Reihe unterschiedlicher Hintertüren gefunden. In älteren Fortinet-Firmwares wurde eine zusätzliche SSH-Authentifizierungsmethode mit einem statischen Passwort entdeckt. Fortinet bestritt, dass es sich dabei um eine Hintertür gehandelt habe. Auch Cisco musste kürzlich vermelden, dass in zahlreichen Geräten der Firma ein Login mit einem Standardpasswort möglich gewesen sei.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

EvilSheep 24. Jan 2016

Tja, wahre Worte, aber die meisten Menschen glauben immernoch lieber an den...

Ingwar 22. Jan 2016

Exakt so wirds sein, ohne dass man auch nur eine Sache nachfragt :)

Kleba 22. Jan 2016

:D


Folgen Sie uns
       


Smartphone-Kameravergleich 2019

Der Herbst ist Oberklasse-Smartphone-Zeit, und wir haben uns im Test die Kameras der aktuellen Geräte angeschaut. Im Vergleich zeigt sich, dass die Spitzengruppe bei der Bildqualität weiter zusammengerückt ist, es aber immer noch Geräte gibt, die sich durch bestimmte Funktionen hervortun.

Smartphone-Kameravergleich 2019 Video aufrufen
Videoüberwachung: Kameras sind überall, aber nicht überall erlaubt
Videoüberwachung
Kameras sind überall, aber nicht überall erlaubt

Dass Überwachungskameras nicht legal eingesetzt werden, ist keine Seltenheit. Ob aus Nichtwissen oder mit Absicht: Werden Privatsphäre oder Datenschutz verletzt, gehören die Kameras weg. Doch dazu müssen sie erst mal entdeckt, als legal oder illegal ausgemacht und gemeldet werden.
Von Harald Büring

  1. Nach Attentat Datenschutzbeauftragter kritisiert Hintertüren in Messengern
  2. Australien IT-Sicherheitskonferenz Cybercon lädt Sprecher aus
  3. Spionagesoftware Staatsanwaltschaft ermittelt nach Anzeige gegen Finfisher

Apex Pro im Test: Tastatur für glückliche Gamer und Vielschreiber
Apex Pro im Test
Tastatur für glückliche Gamer und Vielschreiber

Steelseries bietet seine mechanische Tastatur Apex 7 auch als Pro-Modell mit besonderen Switches an: Zum Einsatz kommen sogenannte Hall-Effekt-Schalter, die ohne mechanische Kontakte auskommen. Besonders praktisch ist der einstellbare Auslösepunkt.
Ein Test von Tobias Költzsch

  1. Bluetooth und Ergonomic Keyboard Microsoft-Tastaturen kommen nach Deutschland
  2. Peripheriegeräte Microsofts neue Tastaturen haben Office- und Emoji-Tasten
  3. G Pro X Gaming Keyboard Logitech lässt E-Sportler auf austauschbare Tasten tippen

Smarter Akku-Lautsprecher im Praxistest: Bose zeigt Sonos, wie es geht
Smarter Akku-Lautsprecher im Praxistest
Bose zeigt Sonos, wie es geht

Der Portable Home Speaker ist Boses erster smarter Lautsprecher mit Akkubetrieb. Aus dem kompakten Gehäuse wird ein toller Klang und eine lange Akkulaufzeit geholt. Er kann anders als der Sonos Move sinnvoll als smarter Lautsprecher verwendet werden. Ganz ohne Schwächen ist er aber nicht.
Ein Praxistest von Ingo Pakalski

  1. ANC-Kopfhörer Bose macht die Noise Cancelling Headphones 700 besser
  2. Anti-Schnarch-Kopfhörer Bose stellt Sleepbuds wegen Qualitätsmängeln ein
  3. Noise Cancelling Headphones 700 im Test Boses bester ANC-Kopfhörer sticht Sony vielfach aus

    •  /