La empresa de seguridad SEC Consult ha analizado el firmware de más de 4000 dispositivos embebidos (routers, módems, cámaras IP, teléfonos VoIP...) procedentes de más 70 vendedores.




  Tras estudiar las llaves SSH y los certificados HTTPS que usan estos dispositivos en sus paneles de control, se han catalogado sólo 580 certificados únicos, lo que supone que dispositivos de diferentes fabricantes utilizan los mismos certificados.

SEC Consult ha publicado la lista de certificados HTTPS y llaves SSH afectadas. Los dispositivos con estos certificados serían vulnerables a ataques de suplantación man-in-the-middle y a ataques pasivos de descifrado. La solución para evitarlo sería muy simple: que los fabricantes generasen llaves criptográficas aleatorias y únicas en cada dispositivo unidad. Toda la información se encuentra en el blog de SEC Consult.




Más opiniones en Slashdot.

Vendedores afectados:

ADB, AMX, Actiontec, Adtran, Alcatel-Lucent, Alpha Networks, Aruba Networks, Aztech, Bewan, Busch-Jaeger, CTC Union, Cisco, Clear, Comtrend, D-Link, Deutsche Telekom, DrayTek, Edimax, General Electric (GE), Green Packet, Huawei, Infomark, Innatech, Linksys, Motorola, Moxa, NETGEAR, NetComm Wireless, ONT, Observa Telecom, Opengear, Pace, Philips, Pirelli , Robustel, Sagemcom, Seagate, Seowon Intech, Sierra Wireless, Smart RG, TP-LINK, TRENDnet, Technicolor, Tenda, Totolink, unify, UPVEL, Ubee Interactive, Ubiquiti Networks, Vodafone, Western Digital, ZTE, Zhone and ZyXEL.
 

Fuentes:
http://barrapunto.com/articles/15/11/29/1816222.shtml
http://blog.sec-consult.com/2015/11/house-of-keys-industry-wide-https.html