.
Um pesquisador de segurança diz que a senha padrão enviada em um sistema de controle de acesso à porta amplamente utilizado permite que qualquer pessoa acesse FACILIDADE e remotamente os fechaduras das portas e os controles do elevador em dezenas de edifícios nos EUA e no Canadá.
A Hirsch, a empresa que agora possui o sistema de acesso à porta Enterphone Mesh, não conserta a vulnerabilidade, dizendo que o bug é por design e que os clientes deveriam ter seguido as instruções de configuração da empresa e alterado a senha padrão.
Isso deixa dezenas de edifícios residenciais e de escritórios expostos na América do Norte que ainda não mudaram a senha padrão do sistema de controle de acesso ou não sabem que deveriam, De acordo com Eric Daigleque encontraram as dezenas de edifícios expostos.
As senhas padrão não são incomuns nem necessariamente um segredo em dispositivos conectados à Internet; As senhas enviadas com produtos são normalmente projetadas para simplificar o acesso de login para o cliente e geralmente são encontradas em seu manual de instruções. Mas confiando em um cliente para alterar uma senha padrão para evitar qualquer acesso malicioso futuro ainda classifica como uma vulnerabilidade de segurança dentro do próprio produto.
No caso dos produtos de entrada da porta da Hirsch, os clientes que instalam o sistema não são solicitados ou obrigados a alterar a senha padrão.
Como tal, Daigle foi creditado com a descoberta do bug de segurança, formalmente designado como CVE-2025-26793.
Nenhuma correção planejada
As senhas padrão têm sido um problema para dispositivos conectados à Internet, permitindo que hackers maliciosos usem as senhas para efetuar login como se fossem o legítimo proprietário e roubassem dados ou sequestre os dispositivos para aproveitar sua largura de banda para lançar ataques cibernéticos. Nos últimos anos, os governos procuraram atrapalhar os fabricantes de tecnologia de usar senhas padrão inseguras, dados os riscos de segurança que apresentam.
No caso do sistema de entrada de porta de Hirsch, o bug é classificado como 10 em 10 na escala de gravidade da vulnerabilidade, graças à facilidade com que qualquer pessoa pode explorá -lo. Praticamente falando, explorar o bug é tão simples quanto pegar a senha padrão do guia de instalação do sistema no site da Hirsch e conectar a senha na página de login voltada para a Internet no sistema de qualquer edifício afetado.
Em uma postagem no blogDaigle disse que encontrou a vulnerabilidade no ano passado depois de descobrir um dos painéis de entrada de porta de malha Enterphone de Enterphone, fabricados em Hirsch, em um prédio em sua cidade natal, Vancouver. A DAIGLE usou o site de varredura da Internet Zoomeye para procurar sistemas de malha Enterphone que estavam conectados à Internet e encontrou 71 sistemas que ainda se baseavam nas credenciais enviadas por padrão.
Daigle disse que a senha padrão permite o acesso ao sistema de back-end da Web, que os gerentes de construção usam para gerenciar o acesso a elevadores, áreas comuns e fechaduras de escritório e portas residenciais. Cada sistema exibe o endereço físico do edifício com o sistema de malha instalado, permitindo que qualquer pessoa faça login para saber a qual edifício tinha acesso.
Daigle disse que era possível invadir efetivamente qualquer uma das dezenas de edifícios afetados em minutos sem atrair nenhuma atenção.
O Strong The One interveio porque Hirsch não possui os meios, como uma página de divulgação de vulnerabilidades, para que membros do público como Daigle relatem uma falha de segurança à empresa.
O CEO da Hirsch, Mark Allen, não respondeu ao pedido de comentário da Strong The One, mas adiou para um gerente sênior de produtos da Hirsch, que disse ao Strong The One que o uso da empresa por senhas padrão está “desatualizado” (sem dizer como). O gerente do produto disse que era “igualmente preocupante” que existem clientes que “instalam sistemas e não estão seguindo as recomendações dos fabricantes”, referindo -se às próprias instruções de instalação da Hirsch.
Hirsch não se comprometeria a divulgar publicamente detalhes sobre o bug, mas disse que entrou em contato com seus clientes sobre seguir o manual de instruções do produto.
Com Hirsch que não está disposto a corrigir o bug, alguns edifícios – e seus ocupantes – provavelmente permanecerão expostos. O bug mostra que as opções de desenvolvimento de produtos do passado podem voltar a ter implicações no mundo real anos depois.
.
