后门帐户由另一个后门替换的供应商绊倒
尽管被警告危险,但是一家使视频会议产品使视频会议产品更换一个严重的安全脆弱性。
AMX HARMAN,它制作了各种视听和建筑控制设备,修补了这个问题。但周四仲委员会在维也纳的信息安全公司咨询,揭示了它所说的背面故事。
去年3月,SEC咨询警告AMX它在某些版本的NX-1200中找到了一个秘密账户,这是一种用于控制视听系统的设备。
隐藏的帐户使用了Username Black Widow,SEC Consult表示它也通过研究设备的身份验证程序来找到密码。
证券委员会咨询
凭据可用于获得广泛访问设备,包括基于Web的管理和命令行接口。SEC咨询写作,黑客也可以捕获数据包。
该帐户似乎是有意创建的,SEC Consult漏洞实验室负责人Johannes Greil,通过电子邮件表示。
“后门是非常关键的,因为它似乎是故意的,而不是一些开发人员的剩余,”他写道。“系统尝试从用户管理接口主动隐藏它,后者帐户甚至比管理员帐户更多的权限。”
由于AMX有重大的政府业务,SEC咨询的发现令人担忧。在其网站上的照片中,它显示了美国总统巴拉克奥巴马的照片与标签线“客房自动化”的顶级顾问。
AMX HARMAN.来自AMX HARMAN的网站的图像。
虽然它在3月份通知,但AMX DIDN“T至10月份提供了修复。当SEC Consuard分析修复时,他们注意到“黑寡妇”帐户已简单地更改为新的用户名。
根据AMX的安全简报,它删除了它所谓的“调试帐户”以防止安全漏洞。
SEC咨询说,它没有检查过最新的修复是否有效。它没有释放隐藏帐户中的任何一个密码。
SEC咨询的更详细的咨询说,除了NX-1200之外,还会影响许多其他产品。AMX官员无法立即达成评论。
现在这个问题已过性解决,证券咨询表明,它在AMX的联系人表示,该公司“将启动主要的安全倡议”。