Gedeelde bedrijfsdata kwetsbaar door lekken in presentatiehardware Barco

ClickShare van Barco is een systeem waarmee gebruikers draadloos een presentatie op hun computer of mobiele apparaat kunnen tonen op een groot scherm. Gebruikers hoeven daarvoor alleen een fysieke knop via een USB-poort aan te sluiten op hun apparaat, de software te selecteren en de knop in te drukken. Het apparaat is erg populair bij bedrijven: volgens het rapport Global wireless presentation solutions 2019 van FutureSource Consulting heeft ClickShare een marktaandeel van 29 procent wereldwijd.

"Wij gebruiken dit systeem zelf ook", vertelt Tom van de Wiele, principal cyber security consultant bij F-Secure. "We besloten om eens te kijken hoe moeilijk of gemakkelijk het is om binnen te dringen in het apparaat." Daarbij ontdekte het team meerdere kwetsbaarheden, waarvan er tien voorzien werden van een CVE-code. 

De ernstigste kwetsbaarheden zijn volgens Van de Wiele degene waarmee aanvallers mee kunnen kijken met presentaties. Dergelijke presentaties kunnen namelijk gevoelige bedrijfsinformatie bevatten, die aanvallers op deze manier kunnen stelen. Daarnaast zijn er zwakke plekken waarmee achterdeurtjes en andere malware op de computers van gebruikers geïnstalleerd kunnen worden, of waarmee aanvallers wachtwoorden en andere informatie kunnen stelen.

Hoe komen ze binnen?

De ClickShare gebruikt wifi om de presentatie op het grote scherm in een vergaderruimte te tonen. Gebruikers moeten daarvoor wel eerst op een bestand klikken. "Dat bestand kunnen wij vervangen door een eigen versie met een achterdeur", verklaart Van der Wiele. Op die manier komen aanvallers binnen in het systeem. Maar ze moeten wel binnen het wifi-bereik van het apparaat zijn, willen ze mee kunnen kijken met de presentatie. "Daarnaast kunnen ze eigen informatie op het scherm tonen."

"Er zijn twee manieren waarop je binnen kunt komen op het apparaat. Als de standaardinstellingen op het apparaat nooit zijn veranderd, kun je er op afstand - maar binnen het wifi-bereik van het apparaat - inkomen." Mochten die instellingen wel aangepast zijn, dan kan een aanvaller nog steeds een achterdeurtje installeren op de ClickShare-knop. Daar moet de cybercrimineel echter wel fysiek voor in contact komen met het apparaat.

Maar een ervaren hacker kan zich bijvoorbeeld als schoonmaker of kantoormedewerker voordoen om toegang tot het apparaat te krijgen. Het infecteren van het apparaat duurt vervolgens minder dan een minuut. "Of je stuurt er één die je al geïnfecteerd hebt op naar het bedrijf met het bericht dat dit een vervanging is voor een kapotte. Zo'n apparaat eindigt dan in een vergaderruimte en zo kun je binnendringen", voegt Van de Wiele toe. 

Kans op misbruik beperkt

Toch wordt dit volgens Van de Wiele niet de belangrijkste aanvalsmethode voor hackers. Om een aanval te laten werken, is namelijk wel enige technische kennis, tijd en dus fysieke aanwezigheid binnen het wifi-bereik van het apparaat nodig. De kans is dan ook groot dat hackers eerder voor een aanval kiezen waarbij de pakkans minder groot is en er minder technische kennis vereist is.

Van de Wiele vindt het echter wel belangrijk dat bedrijven op de hoogte zijn van de risico's. "Bij dit soort apparatuur heb je toch een gedeelde verantwoordelijkheid voor de fabrikant en de klant. Het vertrouwen in zo'n apparaat mag niet ongelimiteerd zijn. Er kunnen immers altijd kwetsbaarheden in gevonden worden. Dus je moet goed nadenken welke informatie je via welke systemen deelt."

Daarnaast raadt Van de Wiele aan om altijd de best practices voor het gebruik en de beveiliging van dergelijke apparaten te lezen.

Firmware-update onderweg

F-Secure deelde zijn bevindingen op 9 oktober met Barco, waarna de twee bedrijven samenwerkten om de informatievoorziening te verbeteren. Vandaag wordt een firmware-update beschikbaar gemaakt, die de meest kritieke kwetsbaarheden moet verbeteren. Of daarmee alles opgelost wordt, is echter nog niet duidelijk. "Daar hebben we nu nog heel weinig zicht op", vertelt Van de Wiele. "Ik raad gebruikers aan om de website van Barco in de gaten te houden voor meer informatie."

Bovendien hebben een aantal problemen betrekking op de hardwarecomponenten die fysiek onderhoud vereisen. Die worden dus waarschijnlijk niet opgelost. Volgens Van de Wiele is het dan ook belangrijk dat bedrijven nadenken over welke maatregelen ze eventueel zelf nemen. "Je moet een risico-afweging maken."