मोबाइल फ़ोन से 5 मिनट में दर्जनों apartment buildings में घुसपैठ करना

 (ericdaigle.ca)
1 पॉइंट द्वारा GN⁺ 2025-02-25 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • कुछ महीने पहले, लेखक SeaBus लेने जा रहा था, तभी वह एक apartment building के पास से गुज़रा जिसमें एक दिलचस्प access control panel लगा था.
  • उसने ब्रांड नाम "MESH by Viscount" नोट किया और अपने मोबाइल फ़ोन से उसके बारे में जानकारी खोजनी शुरू की.

Part 0: पड़ताल

  • सिस्टम का नाम Google पर खोजने पर एक बिक्री पेज मिला, जहाँ TCP/IP capabilities का प्रचार किया गया था, जिनसे सिस्टम को remotely program और maintain किया जा सकता है.
  • "mesh by viscount" filetype:pdf खोजकर installation guide मिली; उसमें बताया गया था कि default credentials बदले जाने चाहिए, लेकिन उन्हें बदलने का तरीका नहीं बताया गया था.
  • यह भी पता चला कि web UI login page का शीर्षक "FREEDOM Administration Login" है.

Part 1: व्यक्तिगत जानकारी का खुलासा

  • panels को इंटरनेट पर expose करना लापरवाही थी, लेकिन default credentials के ज़रिये सिस्टम तक पहुँचा जा सकता था.
  • user section में निवासियों के पूरे नाम और unit numbers का mapping दिख रहा था, और building address साइट title के रूप में इस्तेमाल हो रहा था.
  • events section में खास unit numbers से जुड़े entry records देखे जा सकते थे.
  • user section में सभी निवासियों के phone numbers भी exposed थे.

Part 2: घुसपैठ

  • व्यक्तिगत जानकारी के खुलासे के अलावा, controlled areas section तक पहुँचकर नए access FOB register किए जा सकते थे या मौजूदा ones को disable किया जा सकता था.
  • override feature के ज़रिये किसी भी प्रवेश द्वार का lock खोला जा सकता था.

Part 3: यह कितना व्यापक है?

  • यह देखने के लिए कि पहले नतीजे पर default credentials का काम कर जाना सिर्फ़ किस्मत थी या नहीं, लेखक ने ZoomEye का उपयोग करके और systems scan किए.
  • Nuclei templates का उपयोग कर systems की vulnerability जाँची गई.
  • कुल 89 hits मिले, और पिछले 1 वर्ष में ZoomEye पर exposed systems में से 43% vulnerable थे.
  • exposed systems का अधिकांश हिस्सा Canada में स्थित था.

Timeline

  • 2024-12-20: vulnerability की खोज
  • 2024-12-27: MESH के वर्तमान vendor Hirsch से संपर्क
  • 2025-01-09: MESH के पूर्व vendor Identiv के CEO से संपर्क
  • 2025-01-11: Hirsch product security team ने details मांगीं और पूछा कि क्या ग्राहकों को सूचित करने की योजना है
  • 2025-01-29: Hirsch ने जवाब दिया कि जिन systems में default password नहीं बदला गया, वे vulnerable हैं
  • 2025-01-30: vulnerable systems चलाने वाले ग्राहकों को सूचित किया गया या नहीं, इस पर update माँगा गया (पोस्ट प्रकाशित होने तक कोई जवाब नहीं)
  • 2025-02-14: CVE-2025-26793 assigned
  • 2025-02-15: प्रकाशित

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-02-25
Hacker News राय

  • एक दोस्त से मिलने के लिए एक gated community जा रहा था और साथ में एक Amazon delivery driver भी था। हमें गेट का access code नहीं पता था, लेकिन वह ड्राइवर Amazon delivery driver था

    • उसने कहा, "देखते हैं क्या मैं हमें अंदर करा सकता हूँ," फिर कार से उतरकर access panel को देखा, कुछ नंबर डाले, और गेट खुल गया
    • कई gated communities और apartment complexes Amazon और दूसरी delivery services से सामान मंगाते हैं, लेकिन delivery drivers को अंदर आने का तरीका नहीं देते। नतीजतन, code से परेशान कोई driver access panel के बगल में code लिख देता है ताकि हर कोई उसका इस्तेमाल कर सके
    • उसने कहा, "अपार्टमेंट बहुत खराब हैं," और जोड़ा, "college campuses हमारे अस्तित्व का दर्द हैं। लगता है college students ऐसी चीज़ों के बारे में समझदार होंगे, लेकिन वे सबसे बदतर हैं"

  • अगर मैं इसे सही पढ़ रहा हूँ, तो यह अपार्टमेंट के "common" areas के बारे में है, असली suite के दरवाज़ों के बारे में नहीं। इन दोनों तक पहुँच में बड़ा फर्क है

  • Hirsch ने जवाब दिया कि ये कमजोर systems manufacturer की default password बदलने की सिफारिश का पालन नहीं करते

    • manufacturer की सिफारिश स्वीकार्य नहीं है। system इस्तेमाल करने से पहले non-default secure password अनिवार्य होना चाहिए

  • SF में किसी ने पुराने apartment intercoms के admin access codes पता लगा लिए थे (संभवतः Linear और दूसरी कंपनियों द्वारा बनाए गए)। ये intercoms तब programmed phone number पर call करते थे जब दरवाज़े से apartment access code डाला जाता था

    • इसलिए उन्होंने premium 1-900 number वाला एक fake tenant जोड़ दिया और intercom का इस्तेमाल करके उस नंबर पर call की, और थोड़ा पैसा कमा लिया। जाहिर है, इसका खर्च landlords ने उठाया

  • Viscount की security हँसी लायक खराब है। जब मैं Toronto में रहता था, तब मैं ऐसे building में रहता था जहाँ access control के लिए Viscount infrared fobs इस्तेमाल होते थे। वह TV remote से ज़्यादा सुरक्षित नहीं था; न rolling code था, न encryption। कोई attacker पास में बैठकर IR receiver से सबके fob codes इकट्ठा कर सकता था और सभी floors तक पहुँच सकता था

    • कहने की ज़रूरत नहीं, मैं वहाँ से शिफ्ट हो गया

  • 2025-01-29: Hirsch ने जवाब दिया कि ये कमजोर systems manufacturer की default password बदलने की सिफारिश का पालन नहीं करते

    • आह, ठीक है। गलती बच्चों की है

  • मैं हमेशा सोचता था: हर चीज़ Google पर कैसे आ जाती है? क्या लोग link submit करते हैं, या कोई public link उससे जुड़ता है?

  • बहुत सारी TV series देखने के बाद, मेरी non-technical पत्नी ने निष्कर्ष निकाला कि असली systems hack करना आसान होता है: बस 'password bypass', 'password override', या password के रूप में 'password' इस्तेमाल कर लो

    • लगता है वह लगभग सही है

  • हम Hollywood फिल्मों में वह दृश्य देखकर हँसते हैं जहाँ नायक अपने hacker दोस्त से कहता है, "मुझे इस building में घुसा दो। जल्दी।" और दोस्त कहता है, "एक सेकंड। हो गया।" क्लिक! दरवाज़ा खुल जाता है

  • फोन के बिना 30 सेकंड में apartment building में घुसना:

    • एक भूरा paper (food delivery) bag लेकर intercom के पास खड़े हो जाओ और pretend करो कि बटन दबा रहे हो। जब कोई अंदर आए या बाहर जाए, उसके पीछे-पीछे चलो और "धन्यवाद" कहो। 10 में से 9 बार वे तुम्हारे लिए दरवाज़ा पकड़ेंगे