Como grave negligencia se podría calificar el hecho de que la empresa norteamericana GarretCom incluyera una cuenta secreta y no documentada de fabrica en sus routers industriales que permite a cualquier usuario escalar privilegios a través de ella con el grave riesgo que esto supondría para las instalaciones conectadas a este router. Afortunadamente dudamos que muchas (o alguna?) instalaciones en nuestro país dependan de este fabricante.
Gracias a la empresa Cylance y a la consiguiente información del US Department of Homeland Security hemos conocido que la empresa californiana GarretCom incluyó en uno de sus modelos de routers una cuenta secreta, que no aparecía en ningún lado en la documentación y que según la empresa de seguridad industrial Cylance podría permitir a un usuario "guest" o "operador" alcanzar a través de un escalado de privilegios la cuenta "factory", es decir tener un grado de acceso muy elevado a los dispositivos industriales conectados a la red.
Este tipo de routers no son excesivamente comunes ya que están diseñados para soportar condiciones extremas y están especialmente preparados para determinados tipos de protocolos de comunicación usados en el control y supervisión de dispositivos industriales. Afortunadamente ya existe un parche para cerrar definitivamente este gravísimo agujero de seguridad.
