Miljoenen apparaten hebben 1 sleutel om alle te regeren

Man-in-the-middle-aanvallen ahoy.

Tientallen leveranciers maken geen gebruik van willekeurige cryptografische sleutels, maar recyclen SSH-sleutels. Daardoor kunnen onverlaten in het netwerk verkeer tussen gebruikers eenbvoudig afluisteren.

Meer dan 900 embedded apparaten blijken allemaal hetzelfde X.509-certificaat te gebruiken en recyclen SSH-sleutels, zo waarschuwt het Amerikaanse CERT. Het gaat om alles van VoIP-toestellen tot routers en in sommige gevallen werden dezelfde certificaten en sleutels gedeeld door verschillende fabrikanten.




Binnenkort openbaar

Een onderzoeker keek naar 4000 verschillende apparaten en vond 580 'unieke' privésleutels. Hij zocht verder op internet en ontdekte dat deze sleutels op grote schaal voor toegang op afstand te gebruiken zijn. De certificaten en gebruikte sleutels worden binnenkort openbaar gemaakt.

CERT waarschuwt voor het gevaar, maar heeft geen directe oplossing. Sommige leveranciers beloven updates en waarschuwingen naar klanten toe. Via een firmware-update kunnen dynamische, unieke sleutels worden toegepast om te voorkomen dat aanvallers verkeer van en naar deze apparaten kunnen opvangen.

Getroffen leverenaciers

Het gaat volgens de onderzoekers om apparaten van ADB, AMX, Actiontec, Adtran, Alcatel-Lucent, Alpha Networks, Aruba Networks, Aztech, Bewan, Busch-Jaeger, CTC Union, Cisco, Clear, Comtrend, D-Link, Deutsche Telekom, DrayTek, Edimax, General Electric (GE), Green Packet, Huawei, Infomark, Innatech, Linksys, Motorola, Moxa, NETGEAR, NetComm Wireless, ONT, Observa Telecom, Opengear, Pace, Philips, Pirelli , Robustel, Sagemcom, Seagate, Seowon Intech, Sierra Wireless, Smart RG, TP-LINK, TRENDnet, Technicolor, Tenda, Totolink, unify, UPVEL, Ubee Interactive, Ubiquiti Networks, Vodafone, Western Digital, ZTE, Zhone en ZyXEL.