Een communicatiesysteem dat onder meer wordt gebruikt door de Amerikaanse overheid bevatte een toegangsoptie waarmee ontwikkelaars het systeem konden debuggen. De backdoor is inmiddels verwijderd.

Het bedrijf AMX maakt hardware voor onder meer gebouwbeheer en videocommunicatie-hardware die onder meer worden gebruikt door Amerikaanse overheidsdiensten. De firmware van deze controller bevatte een debugger en een beveiligingsbedrijf SEC Consult ontdekte deze toegangsoptie waarmee een aanvaller de allerhoogste rechten krijgt - nog hoger dan die van de standaardadmin.
Handig om toegang te houden

Zo'n toegangsoptie wordt door de schrijvers van de firmware vaak gehanteerd tijdens het ontwikkelproces, maar iets te vaak duiken deze backdoors op in de daadwerkelijke productie, soms per ongeluk en soms omdat de fabrikant het wel handig vindt om toegang te behouden.

Het beveiligingsbedrijf sprak maandenlang met AMX en de debugger is inmiddels verwijderd. Volgens SEC Consult is de debugger echter opnieuw aanwezig in een ander stukje code. Tegenover Ars Technica verklaart AMX dat deze tweede backdoor geen toegang geeft tot het systeem - deze feature zouden systemen onderling gebruiken om met elkaar te communiceren.