WiFi-netwerken van hotels blijken kwetsbaarheid te bevatten

  1. 30 mrt 2015
  2. 0 reacties

Wie in het buitenland in een hotel komt maakt vaak dankbaar gebruik van de WiFi-voorzieningen die hier beschikbaar wordt gesteld. Het is echter wel belangrijk dat deze netwerken veilig zijn. InnGate, een populaire methode om dit soort netwerken beschikbaar te stellen in hotels, blijkt echter een ernstige kwetsbaarheid te bevatten. Hierdoor konden aanvallers toegang krijgen tot data op de machines van verbonden hotelgasten.

InnGate is een populaire methode om WiFi-netwerken in hotels beschikbaar te maken en de kosten hiervan door te berekenen aan klanten. Het systeem biedt de mogelijkheid nauwkeurig in te stellen hoe lang een gast toegang krijgt tot het WiFi-netwerk en geeft klanten de mogelijkheid zelf uit te checken. Ook zijn prepaidpakketten beschikbaar.

Ernstige kwetsbaarheid

Beveiligingsbedrijf Cylance heeft echter ontdekt dat de InnGate-productreeks een ernstige kwetsbaarheid bevat, die wordt veroorzaak door een incorrecte configuratie van rsync in de firmware van bepaalde InnGate HSIA modellen. ANTLabs, ontwikkelaar van InnGate, heeft het probleem onderzocht en bevestigt het bestaan hiervan in een blogpost.

Externe systemen kunnen dankzij de kwetsbaarheid onbeperkte lees- en schrijfrechten verkrijgen op machines van verbonden hotelgasten. Daarnaast konden hotelgasten zonder te betalen toegang krijgen tot het netwerk.

Kwetsbare producten

De volgende producten zijn door het probleem getroffen:

  • IG 3100 model 3100, model 3101
  • InnGate 3.00 E-Series, 3.01 E-Series, 3.02 E-Series, 3.10 E-Series
  • InnGate 3.01 G-Series, 3.10 G-Series

In totaal zouden 227 van deze kwetsbare apparaten worden gebruikt in 29 verschillende landen. Een fors aantal hotelketens zou door het probleem zijn getroffen, waaronder ook een aantal bekende namen. Om welke hotels het gaat is echter niet bekend gemaakt.

Update

Het probleem is inmiddels door ANTLabs verholpen via een update voor InnGate. Nadat deze update is geïnstalleerd is het WiFi-netwerk weer volledig vrij te gebruiken.

Meer over
Lees ook
ENISA publiceert richtlijnen voor veilige mobiele apps

ENISA publiceert richtlijnen voor veilige mobiele apps

Het European Agency for Network and Information Security (ENISA) publiceert een vernieuwde versie van de Smartphone Development Guidelines. In het document wordt uiteengezet hoe ontwikkelaars mobiele applicaties veiliger kunnen maken en kunnen beschermen tegen cyberaanvallen. In het vernieuwde rapport zijn nieuwe secties toegevoegd over recente o1

Schneider Electric verhelpt ernstig beveiligingsprobleem in DCIM-oplossing

Schneider Electric verhelpt ernstig beveiligingsprobleem in DCIM-oplossing

Schneider Electric stelt een update beschikbaar die een ernstig beveiligingsprobleem verhelpt in de StruxureWare Data Center Expert software. Door het lek konden aanvallers op afstand gevoelige informatie inzien en toegang krijgen tot onversleutelde wachtwoorden. Het beveiligingslek is ontdekt door Positive Technologies. Aanvallers kunnen het lek1

Financiële gegevens van burgers en bedrijven onvoldoende beveiligd door Belastingdienst

Financiële gegevens van burgers en bedrijven onvoldoende beveiligd door Belastingdienst

De Belastingdienst blijkt financiële gegevens van 11 miljoen Nederlandse burgers en 2 miljoen bedrijven in de periode 2013 tot 2016 onvoldoende beveiligd te hebben. Door problemen met een autorisatiesysteem kan niet worden achterhaald wie de gegevens heeft ingezien. Dit meldt ZEMBLA op basis van vertrouwelijke documenten van de Belastingdienst. D1