5 miljoen webapparaten gebruiken dezelfde certificaten en sleutels

Deze certificaten met sleutels zijn eenvoudig via een scan te achterhalen, geeft SEC aan.

Ook heeft SEC een lijst bekend gemaakt van producten die deze certificaten en sleutels gebruiken.

Gevaarlijk

Het hergebruik van publiekelijk bekende sleutels maakt man-in-the-middle-aanvallen mogelijk, verklaart SEC aan de nieuwsdienst Dark Reading.

Het hergebruik van de sleutels is mogelijk doordat veel leveranciers van embedded producten hardcoded SSH-sleutels en certificaten van HTTPS-servers achterlaten in de apparaten. Dat doen ze om webtoegang tot de apparaten mogelijk te maken en om het gebruik van andere protocollen zoals EAP/802 en FTPS makkelijker te maken. Het probleem is echter dat heel veel verschillende producten dezelfde sleutels en certificaten gebruiken en daardoor relatief makkelijk te misbruiken zijn.

In het onderzoek van november constateerde SEC al dat zo’n 150 servercertificaten gebruikt werden door 3,2 miljoen apparaten. Bijna een miljoen webapparaten werkten nog eens met 80 SSH-sleutels. Zo wordt één certificaat van Multitech in India gebruikt in de firmware van zeker 300.000 apparaten van onder meer Aztech, Bewan, Observa Telecom, NetComm Wireless, ZTE en ZyXEL.

SEC heeft samen met het Amerikaanse CERT/CC vanaf eind vorig jaar leveranciers van de gewraakte producten op de hoogte gesteld. Zij lijken nog weinig patches te hebben doorgevoerd. SEC pleit daarom voor wettelijke regels om hen daartoe te verplichten.