Lỗ hổng bảo mật "giấy note" biến phòng tập gym thành sàn nhạc thập niên 80

Chào mừng quay trở lại với chuyên mục Pwned, nơi chúng tôi chia sẻ những câu chuyện "thương trường" từ những người lính công nghệ, những người đã tự bắn vào chân mình hoặc chứng kiến người khác làm điều tương tự. Câu chuyện ngày hôm nay cho thấy rằng, ngay cả khi bạn đang thiết lập một thứ đơn giản như thiết bị tập luyện, cũng không có lý do gì để để thông tin đăng nhập nằm lăn lóc.

Câu chuyện tuần này đến từ một người mà chúng ta sẽ gọi tắt là JC, chủ sở hữu của một công ty chuyên bán và lắp đặt thiết bị phòng tập gym cũ. Ông có một hợp đồng với một khách sạn để lắp đặt các thiết bị cardio có màn hình video, được thiết kế để người tập có thể xem Netflix qua mạng LAN nội bộ.

Tuy nhiên, một trong những nhân viên của JC đã để mã PIN quản trị mặc định của thiết bị trên một tờ giấy note dán ngay trên một trong những máy chạy bộ. Điều này đã cho phép một vị khách lưu trú tại khách sạn đăng nhập vào bảng điều khiển và đưa các video âm nhạc thập niên 80 vào danh sách chờ. Chúng ta không biết vị khách khó tính này đã chọn những bài hát nào, nhưng có thể tưởng tượng rằng bài hát "Physical" của Olivia Newton-John chắc chắn nằm đầu danh sách phát.

Nghe thấy những âm thanh phát ra từ phòng gym, nhân viên tại lễ tân khách sạn đã tự hỏi liệu phòng tập của họ có bị ma ám hay không. Tuy nhiên, họ cuối cùng cũng phát hiện ra rằng có ai đó đã để YouTube chạy thay vì đăng nhập vào Netflix. May mắn thay, "kẻ tấn công" này không gây ra thiệt hại thực sự nào, nhưng nếu một người nào đó có ý đồ xấu hơn giành được quyền kiểm soát những chiếc máy này, họ hoàn toàn có thể sử dụng chúng cho các cuộc tấn công điều khiển và chỉ huy (command-and-control).

Về phần mình, JC cho biết ông đã coi sự việc này là một cơ hội để học hỏi. Hiện tại, đội ngũ của ông đang cách ly tất cả các bảng điều khiển trên một VLAN dành cho khách, thay đổi mật khẩu mặc định và thậm chí vô hiệu hóa các cổng USB trên thiết bị tập luyện. Họ cập nhật các bản vá cho bảng điều khiển trong quá trình chạy thử nghiệm (burn-in) và thậm chí khóa các tấm mạng (network plates) để không ai có thể rút cáp Ethernet ra và cắm thiết bị của riêng họ vào mạng LAN.

Merritt Maxim, Phó chủ tịch và giám đốc nghiên cứu tại Forrester Research, cho biết ông cũng sẽ hạn chế quyền truy cập outgoing ở cấp tường lửa (firewall) để các máy trong phòng gym chỉ có thể gửi và nhận dữ liệu từ Netflix. Nếu không, những hacker xâm nhập được vào máy tập thể dục có thể gây ra thiệt hại lớn hơn nhiều.

Tuần trước, chúng tôi đã nói về một chiếc máy pha cà phê trở thành bề mặt tấn công của một công ty. Tình huống này không khác biệt là bao, với cả hai câu chuyện đều cho thấy tầm quan trọng của việc khóa chặt các thiết bị kết nối, bất kể chúng ít giống một chiếc máy tính đến đâu.

Bạn có câu chuyện về việc ai đó để một lỗ hổng lớn trong mạng của họ không? Hãy chia sẻ với chúng tôi. Ẩn danh có thể theo yêu cầu.