Tek bir varsayılan parola düzinelerce apartman binasına erişimi açığa çıkarıyor

Bir güvenlik araştırmacısı, yaygın olarak kullanılan bir kapı erişim kontrol sisteminde bulunan varsayılan parolanın, ABD ve Kanada'daki düzinelerce binadaki kapı kilitlerine ve asansör kontrollerine herkesin kolayca ve uzaktan erişebilmesine olanak tanıdığını söylüyor.

Şu anda Enterphone MESH kapı erişim sisteminin sahibi olan şirket olan Hirsch, hatanın tasarımdan kaynaklandığını ve müşterilerin şirketin kurulum talimatlarını takip ederek varsayılan şifreyi değiştirmeleri gerektiğini söyleyerek açığı düzeltmeyeceğini açıkladı.

Eric Daigle'ın düzinelerce korunmasız binayı bulan kişi olarak belirttiğine göre , Kuzey Amerika'da erişim kontrol sistemlerinin varsayılan şifresini henüz değiştirmemiş veya değiştirmeleri gerektiğini bilmeyen düzinelerce korunmasız konut ve ofis binası var.

Varsayılan parolalar internet bağlantılı cihazlarda nadir değildir ve mutlaka bir sır değildir; ürünlerle birlikte gönderilen parolalar genellikle müşteri için oturum açma erişimini basitleştirmek için tasarlanmıştır ve genellikle kullanım kılavuzlarında bulunur. Ancak gelecekte herhangi bir kötü amaçlı erişimi önlemek için bir müşterinin varsayılan parolayı değiştirmesine güvenmek yine de ürünün kendisinde bir güvenlik açığı olarak sınıflandırılır .

Hirsch'in kapı giriş ürünleri söz konusu olduğunda, sistemi kuran müşterilerden varsayılan şifreyi değiştirmeleri istenmez veya bu istenmez.

Bu nedenle Daigle, resmen CVE-2025-26793 olarak adlandırılan güvenlik açığını keşfetmekle tanındı.

Varsayılan parolalar uzun zamandır internete bağlı cihazlar için bir sorun teşkil ediyor ve kötü niyetli bilgisayar korsanlarının parolaları kullanarak gerçek sahibiymiş gibi oturum açmalarına ve verileri çalmalarına veya siber saldırılar başlatmak için bant genişliklerini kullanmak üzere cihazları ele geçirmelerine olanak sağlıyor. Son yıllarda hükümetler, sundukları güvenlik riskleri nedeniyle teknoloji üreticilerini güvenli olmayan varsayılan parolaları kullanmaktan uzaklaştırmaya çalışıyor .

Hirsch'in kapı giriş sistemi durumunda, hata, herkesin kolayca istismar edebilmesi sayesinde, güvenlik açığı ciddiyet ölçeğinde 10 üzerinden 10 olarak derecelendirilmiştir. Pratik olarak, hatayı istismar etmek, Hirsch'in web sitesindeki sistem kurulum kılavuzundan varsayılan parolayı almak ve parolayı etkilenen herhangi bir binanın sistemindeki internete bakan oturum açma sayfasına girmek kadar basittir.

Daigle, bir blog yazısında , geçen yıl memleketi Vancouver'daki bir binada Hirsch yapımı Enterphone MESH kapı giriş panellerinden birini keşfettikten sonra bu açığı bulduğunu söyledi. Daigle, internete bağlı Enterphone MESH sistemlerini aramak için internet tarama sitesi ZoomEye'ı kullandı ve hala varsayılan olarak gönderilen kimlik bilgilerine güvenen 71 sistem buldu.

Daigle, varsayılan parolanın, bina yöneticilerinin asansörlere, ortak alanlara ve ofis ve konut kapı kilitlerine erişimi yönetmek için kullandığı MESH'in web tabanlı arka uç sistemine erişime izin verdiğini söyledi. Her sistem, MESH sisteminin kurulu olduğu binanın fiziksel adresini görüntüler ve oturum açan herkesin hangi binaya erişimi olduğunu bilmesini sağlar.

Daigle, onlarca etkilenen binaya dakikalar içinde ve kimsenin dikkatini çekmeden etkili bir şekilde girmenin mümkün olduğunu söyledi.

TechCrunch, Hirsch'in Daigle gibi kamuoyunun şirkete bir güvenlik açığını bildirebileceği bir güvenlik açığı bildirim sayfası gibi araçlara sahip olmaması nedeniyle duruma müdahale etti.

Hirsch CEO'su Mark Allen, TechCrunch'ın yorum talebine yanıt vermedi, bunun yerine TechCrunch'a şirketin varsayılan parola kullanımının "modası geçmiş" olduğunu (nedenini söylemeden) söyleyen kıdemli bir Hirsch ürün müdürüne danıştı. Ürün müdürü, Hirsch'in kendi kurulum talimatlarına atıfta bulunarak "sistemleri kuran ve üreticilerin önerilerini takip etmeyen" müşterilerin olmasının "eşit derecede endişe verici" olduğunu söyledi.

Hirsch, hatayla ilgili ayrıntıları kamuoyuyla paylaşmayacağını ancak müşterileriyle iletişime geçerek ürünün kullanım kılavuzunu takip etmeleri gerektiğini söyledi.

Hirsch hatayı düzeltmeye isteksiz olduğundan, bazı binalar ve sakinleri muhtemelen açıkta kalacaktır. Hata, geçmişteki ürün geliştirme tercihlerinin yıllar sonra gerçek dünyada etkileri olabileceğini göstermektedir.