Компания AMX, поставщик средств для проведения аудио- и видеоконференций, используемых американским правительством и военными, удалила «умышленный» бэкдор из одного из системных контроллеров.

Новая прошивка для AMX NX-1200 была выпущена в минувший четверг, уже без учетной записи администратора, доступной удаленно. В описании апдейта сказано, что разработчик удалил отладочный аккаунт для «предотвращения уязвимости, чреватой нарушением безопасности».

По словам австрийской консалтинговой компании SEC Consult, ее переговоры с AMX по поводу данной бреши продолжались семь месяцев. В результате вендор сообщил, что собирается закрыть бэкдор и изменить имя аккаунта с Black Widow (Черная вдова, персонаж известных комиксов) на 1MB@tMan (Бэтмен). Январский патч — уже второй шаг AMX в этом направлении.

В информационном бюллетене SEC Consult пояснила, что виной всему — функция setUpSubtleUserAccount, добавляющая во внутреннюю базу пользователей административный аккаунт с правами доступа к веб-интерфейсу и SSH. Эта учетная запись намеренно скрыта в списке пользователей базы данных.

«AMX пошла дальше и внедрила некоторые дополнительные инструменты вроде перехватчика пакетов и сниффера, чтобы поддержать умелого шпиона Black Widow в борьбе с хакерами-сверхзлодеями, — иронизирует SEC Consult. — Эти инструменты доступны лишь нашей супергероине, так как сила, которой они обладают, не должна быть подвластна рядовым администраторам».

AMX бэкдор

Обновление прошивки предназначено не только для NX-1200, но также для десятков других продуктов и систем, использующих платформу NetLinx NX производства AMX. Есть ли бэкдор в других контроллерах этой серии, неизвестно, SEC Consult пока не тестировала свежий апдейт.

AMX является подразделением HARMAN International; на тематическом сайте компании сказано, что ее средства конференц-связи используют Белый дом, Объединенная база Эндрюс морской авиации США (где базируется «борт номер один» — самолет президента), форт Ливенворт, военно-морской колледж, центр управления боевыми действиями морской пехоты и многие другие правительственные и военные ведомства США.

Категории: Уязвимости