F-Secure: beveiligingslekken in ClickShare-presentatiesysteem van Barco

F-Secure heeft verschillende kwetsbaarheden ontdekt in ClickShare, een populair draadloos presentatiesysteem van Barco. Aanvallers kunnen de kwetsbaarheden misbruiken om informatie tijdens presentaties te onderscheppen en te manipuleren, wachtwoorden en andere vertrouwelijke informatie te stelen en ‘backdoors’ en andere malware te installeren.

Met ClickShare kunnen mensen vanaf verschillende apparaten informatie delen of presenteren. ClickShare, met een marktaandeel van 29%(bron: het rapport “Global wireless presentation solutions 2019” van FutureSource Consulting), wordt door vele bedrijven en organisaties gebruikt als draadloos presentatiesysteem.

Volgens Dmitry Janushkevich, senior consultant gespecialiseerd in hardwarebeveiliging van F-Secure Consulting, maakt de populariteit van deze gebruiksvriendelijke tools het een logisch doelwit voor aanvallen. Juist daarom wilde zijn team de veiligheid van deze apparaten onderzoeken.

“Deze apparaten zijn zo praktisch en eenvoudig te gebruiken, dat mensen geen enkele reden zien om ze te wantrouwen. Maar achter de bedrieglijke eenvoud van deze systemen schuilt een erg complexe interne werking. Deze complexiteit maakt de beveiliging ervan een grote uitdaging”, legt Janushkevich uit. “De alledaagse objecten die mensen zonder nadenken vertrouwen, zijn de beste doelwitten voor aanvallers. Omdat deze apparaten zo populair zijn bij bedrijven, hebben we besloten om wat druk uit te oefenen op deze zwakke plek en te kijken wat we konden leren.”

Janushkevich en zijn collega’s van F-Secure Consulting merkten tijdens ‘red team assessments’ dat het ClickShare-systeem erg populair is bij organisaties. Daarom besloten ze het systeem gedurende enkele maanden aan verschillende tests te onderwerpen. Ze ontdekten tijdens deze tests meerdere zwakke plekken, waarvan er 10 werden voorzien van ‘CVE (Common Vulnerabilities and Exposures) identifiers’.

De problemen maken verschillende soorten aanvallen makkelijker, waaronder het onderscheppen van informatie die via het systeem wordt gedeeld; het installeren van ‘backdoors’ of andere malware op de computers van gebruikers en het stelen van informatie en wachtwoorden.

Bepaalde aanvallen kunnen op afstand worden gedaan als het apparaat nog de standaardinstellingen gebruikt. Om misbruik te kunnen maken van sommige andere kwetsbaarheden is dan weer fysieke toegang nodig. Janushkevich benadrukt dat in bepaalde gevallen een ervaren hacker, die zich bijvoorbeeld voordoet als schoonmaker of kantoormedewerker, ter plaatse binnen enkele minuten een ClickShare-systeem kan compromitteren.

“De belangrijkste doelstelling van onze tests was om via backdoors het systeem binnen te komen, zodat we gebruikers konden compromitteren en informatie konden stelen die werd gepresenteerd. Hoewel het in eerste instantie lastig was om door de perimeter te breken, vonden we daarna meerdere kwetsbaarheden. Vanaf het moment dat we het systeem voldoende verkend hadden, was het niet moeilijk om die kwetsbaarheden uit te buiten,” legt Janushkevich uit. “We kunnen dit systeem in minder dan een minuut compromitteren. Aangezien veel bedrijven het systeem voornamelijk gebruiken om vertrouwelijke informatie te presenteren, is het belangrijk dat bedrijven zich van dit risico bewust zijn.”

F-Secure Consulting deelde zijn onderzoek op 9 oktober 2019 met Barco. De twee bedrijven werkten vervolgens samen aan de informatievoorziening over de kwetsbaarheden. Vandaag publiceert Barco een firmware release op hun website om de meest kritieke kwetsbaarheden te verbeteren. Verschillende problemen hebben echter betrekking op hardwarecomponenten die fysiek beheer vereisen en dus waarschijnlijk niet zullen worden opgelost.

“Dit voorbeeld toont aan hoe moeilijk het is om ‘smart devices’ te beveiligen. Zogenaamde ‘bugs in silicon’, in het ontwerp en in de geïntegreerde software kunnen langdurige negatieve gevolgen hebben voor zowel de verkoper als de gebruikers, waardoor het vertrouwen dat we in deze apparaten stellen, wordt ondermijnd”, zegt Janushkevich.

F-Secure Consulting is actief in 11 verschillende landen op vier continenten. Het bedrijf levert cybersecurity diensten die zijn afgestemd op de behoeften van het bankwezen, de financiële dienstverlening, de luchtvaart, de scheepvaart, de detailhandel, de verzekeringssector en andere sectoren die vaak het doelwit zijn van cyberaanvallen. Details over het onderzoek naar het Barco ClickShare-systeem zijn beschikbaar in een blogpost van F-Secure Labs. Meer informatie over F-Secure Consulting is hier te vinden.