IT-sårbarhet i GARO Laddbox

[infelicitas]

https://github.com/delikely/advisory/tree/main/GARO

Detta är en typisk IoT-pryl och min rekommendation är att man bör man ej exponera dessa fritt mot internet.

OBS! Det är inget fel på laddboxen i sig. Man kan köpa den och använda den. Jag vill bara lyfta medvetandet.

[emiliooo]

Idag hade jag en ny mjukvaruversion till min Garo GLB, 1.3.6. Undrar om denna löser problemet?

[jonasl]

Och de har försökt kontakta Garo sedan september förra året utan respons. Känns bra att det inte är Garo-boxar vi installerar i föreningen nu, de verkar inte riktigt vara ett företag som är med i tiden.

[Curik]

Och de har försökt kontakta Garo sedan september förra året utan respons. Känns bra att det inte är Garo-boxar vi installerar i föreningen nu, de verkar inte riktigt vara ett företag som är med i tiden.

På grund av sårbarheten? Det är väl att överdriva en smula va? Både ASUS och Netgear har haft problem nyligen. Tesla också, kring bilnycklarna.

[tor-ake]

Om man som företag blir kontaktad av någon som påpekar att man har hårdkodade användarnamn och lösenord som gör att den som vet lösenorden kan logga in och styra ens produkt utan ägarens medgivande, då kan det vara smart att svara och skicka ut en uppdatering innan det blir en publikt känd svaghet.

Kanske inte är så troligt att någon börjar mina bitcoin på din förenings laddbox, men man kan ju göra andra obehagliga saker t.ex. spioneri och överbelastningsattacker.

Jag laddade ned GLB-firmwareuppgraderingen som verkar vara från 25:e februari, och den innehåller inget som verkar rekonfigurera lösenorden i tomcat.

[Curik]

Om man som företag blir kontaktad av någon som påpekar att man har hårdkodade användarnamn och lösenord som gör att den som vet lösenorden kan logga in och styra ens produkt utan ägarens medgivande, då kan det vara smart att svara och skicka ut en uppdatering innan det blir en publikt känd svaghet.

Ja det är ju rätt illa..

[chaffis75]

Nu har jag inte en garo laddare men jag har min laddare kopplad på ett vlan som bara kommer åt internet inte mitt interna nät. Ska fakriskt gå igenom om de är fler prylar jag bör hantera på de sättet. Tack för denna påminnelse om dåliga iot prylar.

[jonasl]

På grund av sårbarheten? Det är väl att överdriva en smula va? Både ASUS och Netgear har haft problem nyligen. Tesla också, kring bilnycklarna.

Nej, inte alls. Däremot verkar de helt ha ignorerat bristen när den rapporterades. De flesta företag tar tacksamt emot en sådan rapport, och många betalar till och med pengar till den som hittar säkerhetsbrister i deras produkter.

[jonasl]

Nu har jag inte en garo laddare men jag har min laddare kopplad på ett vlan som bara kommer åt internet inte mitt interna nät. Ska fakriskt gå igenom om de är fler prylar jag bör hantera på de sättet. Tack för denna påminnelse om dåliga iot prylar.

Det där är ett av mina dåliga samveten. Borde verkligen segmentera mitt nätverk hemma. En hel del saker borde isoleras helt och bara få prata ut på nätet, andra borde tvärtom inte få prata ut på nätet alls..

[IcePic]

Och de har försökt kontakta Garo sedan september förra året utan respons. Känns bra att det inte är Garo-boxar vi installerar i föreningen nu, de verkar inte riktigt vara ett företag som är med i tiden.

På grund av sårbarheten? Det är väl att överdriva en smula va? Både ASUS och Netgear har haft problem nyligen. Tesla också, kring bilnycklarna.

Det trista är ju att IT-branschen redan gått igenom det här, på 90-talet. Då var det vanligt att företag på nätet försökte skjuta på budbäraren, försökte spela ner hålen, sa att "det är fixat i nästa release som kommer Sen(tm)" osv, varpå motreaktionen blev att posta exploits vitt och brett så att man tvingade fram en reaktion istället för att låta dem sopa det under mattan, eftersom nu "alla" kunde reproducera problemen.

Att företag bygger devices som ska vara online kör på ryggmärsreflexer som inte funkade redan på 90-talet är inte ett bra tecken. Som andra säger, det är inte hålen i sig, utan hur man agerar på nyheten som är intressant.

Se gärna likheten hur Assa Abloy reagerade när deras Assa 2000-lås kunde öppnas på <10sek. Där kunde man kanske ge dem _lite_ förståelse för att de är/var i en bransch som var väldigt offline och kanske inte visste hur nätet påverkar, men efter att de sköt mot budbäraren istället för att fundera på hur de kunde fixa låsen så postades video på youtube som visade hur galet enkelt det var och Assa fick vika ner sig och faktiskt börja hantera att deras lås var usla, rent sagt.

[emiliooo]

Det finns minst en till sårbarhet i Garo GLB, och det är att alla boxar använder samma nyckel för att öppna upp lådan. När du väl har öppnat upp lådan kan du se SSID och lösenord för att ansluta till boxens nätverk, och därefter göra de inställningar du vill. Om boxen redan är uppkopplad mot ett annat nätverk så är boxens egna nätverk inte aktivt, men det är en enkel sak att nollställa alla wifi-inställningar från boxen.

[MrRun]

Det finns minst en till sårbarhet i Garo GLB, och det är att alla boxar använder samma nyckel för att öppna upp lådan. När du väl har öppnat upp lådan kan du se SSID och lösenord för att ansluta till boxens nätverk, och därefter göra de inställningar du vill. Om boxen redan är uppkopplad mot ett annat nätverk så är boxens egna nätverk inte aktivt, men det är en enkel sak att nollställa alla wifi-inställningar från boxen.

Påminner mig om att min Easee har inget lås alls utan öppnas mha ett verktyg som man dessutom lätt kan tillverka själv av en ståltråd. Minns jag rätt står väl SSID och Pinkod där under skalet också, måste kolla.

[emiliooo]

Det finns minst en till sårbarhet i Garo GLB, och det är att alla boxar använder samma nyckel för att öppna upp lådan. När du väl har öppnat upp lådan kan du se SSID och lösenord för att ansluta till boxens nätverk, och därefter göra de inställningar du vill. Om boxen redan är uppkopplad mot ett annat nätverk så är boxens egna nätverk inte aktivt, men det är en enkel sak att nollställa alla wifi-inställningar från boxen.

Påminner mig om att min Easee har inget lås alls utan öppnas mha ett verktyg som man dessutom lätt kan tillverka själv av en ståltråd. Minns jag rätt står väl SSID och Pinkod där under skalet också, måste kolla.

Det ser ut att vara en enkel sak att byta ut låset på Garo, så det ska jag nog kolla vidare på. Har aldrig haft en Easee, men det kanske är möjligt att byta/sätta dit ett lås?

[Klintan]

Följde med ett litet hänglås med easeeboxen, åtminstone för två år sedan.

[chaffis75]

Det finns minst en till sårbarhet i Garo GLB, och det är att alla boxar använder samma nyckel för att öppna upp lådan. När du väl har öppnat upp lådan kan du se SSID och lösenord för att ansluta till boxens nätverk, och därefter göra de inställningar du vill. Om boxen redan är uppkopplad mot ett annat nätverk så är boxens egna nätverk inte aktivt, men det är en enkel sak att nollställa alla wifi-inställningar från boxen.

Påminner mig om att min Easee har inget lås alls utan öppnas mha ett verktyg som man dessutom lätt kan tillverka själv av en ståltråd. Minns jag rätt står väl SSID och Pinkod där under skalet också, måste kolla.

Står tydligt man ska flytta pinkoden som sitter på ett klistermärke som är klistrat på insidan till instruktion boken. Inget illa menat men ett rtfm problem..

[emiliooo]

Det finns minst en till sårbarhet i Garo GLB, och det är att alla boxar använder samma nyckel för att öppna upp lådan. När du väl har öppnat upp lådan kan du se SSID och lösenord för att ansluta till boxens nätverk, och därefter göra de inställningar du vill. Om boxen redan är uppkopplad mot ett annat nätverk så är boxens egna nätverk inte aktivt, men det är en enkel sak att nollställa alla wifi-inställningar från boxen.

Påminner mig om att min Easee har inget lås alls utan öppnas mha ett verktyg som man dessutom lätt kan tillverka själv av en ståltråd. Minns jag rätt står väl SSID och Pinkod där under skalet också, måste kolla.

Står tydligt man ska flytta pinkoden som sitter på ett klistermärke som är klistrat på insidan till instruktion boken. Inget illa menat men ett rtfm problem..

Låter som en bra lösning som även Garo borde ha. Skummade igenom installationsmanualen men kunde inte hitta det (möjligt att jag missade det och jag lider av SBK). Bra tips ändå!

[MrRun]

Det finns minst en till sårbarhet i Garo GLB, och det är att alla boxar använder samma nyckel för att öppna upp lådan. När du väl har öppnat upp lådan kan du se SSID och lösenord för att ansluta till boxens nätverk, och därefter göra de inställningar du vill. Om boxen redan är uppkopplad mot ett annat nätverk så är boxens egna nätverk inte aktivt, men det är en enkel sak att nollställa alla wifi-inställningar från boxen.

Påminner mig om att min Easee har inget lås alls utan öppnas mha ett verktyg som man dessutom lätt kan tillverka själv av en ståltråd. Minns jag rätt står väl SSID och Pinkod där under skalet också, måste kolla.

Står tydligt man ska flytta pinkoden som sitter på ett klistermärke som är klistrat på insidan till instruktion boken. Inget illa menat men ett rtfm problem..

Jag tar inte illa upp, det är ju elektrikern som missat. Har aldrig behövt öppna Easeen och manualen fick jag med pinkoden nedskriven i.
Var ute och kollade nu och visst, klisterlappen med pinkod satt kvar. Står ju t.o.m Remove... osv på den.