SECconsult漏洞实验室一般会根据漏洞反馈机制去通知相关的问题厂家。他们在在初始交流阶段是通过AMX在欧洲的销售团队与之联系。大约7个月之后,AMX针对这一后门提供了一个修补方案。在快速检查这个补丁之后,该团队发现这个后门依旧存在,但是黑寡妇(Black Widow)这个账户已经消失了,难道AMX已经删除黑寡妇了吗?
当时不是,他们决定从DC宇宙中重新雇佣一位超级英雄,,那就是蝙蝠侠!!!(BATMAN)。他们使用数字和特殊字母来拼写他的名字:1MB@tMaN。
这一次,SEC Consult决定直接去联系AMX公司的安全负责人。在给不同的责任人发出要求说,要向他们提交相关漏洞信息后,最后终于有人回复我们了。我们把没有加密的漏洞信息发送过去之后,他们那边再次沉默了。
在2015年10月份左右,他们还是没有收到AMX那边的任何信息,尽管关于补丁包的问题询问了很多遍,他们甚至推迟了安全漏洞的发布时间,为的是给厂商更多的时间去把蝙蝠侠和黑寡妇安排妥当。
昨天AMX终于有所回应了,他们通知SEC Consult说他们已经为受影响的设备公布了固件升级包。这些升级包还没有被SEC Consult测试和确认。
此外,通过SEC Consult的这一次的沟通来看,AMX未来可能需要在重要安全事件处理主动性上做出更好的表现。关于账户密码,SEC Consult安全团队表示还需确认补丁是否修补了漏洞后才能公布。
解决方案
对于部分AMX设备,AMX厂家已经发布了一个升级包()。推荐受影响的客户联系哈曼技术支持热线去获得关于该更新的更多信息。
强烈建议国内用户暂时不要使用AMX系列产品,有可能电视电话会议存在长期被监控风险。此类事件也为未来物联网、智慧城市的供应链安全敲响了警钟。
1.
2.
3.?Category=Hot%20Fix%20Files
4.
5.https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20160121-0_AMX_Deliberately_hidden_backdoor_account_v10.txt
