Kritieke en hoog-risico kwetsbaarheden in bepaalde controllers van Daktronics kunnen het mogelijk maken voor hackers om snelwegverkeersborden en digitale billboards op afstand te manipuleren. Dit meldt de cybersecurityonderzoeker die de kwetsbaarheden ontdekte. Daktronics is een Amerikaans bedrijf dat grote LED-schermen, elektronische scoreborden, digitale billboards en dynamische audiosystemen ontwerpt, produceert en onderhoudt. Hun displays zijn wereldwijd te vinden, van sporthallen en professionele arena's tot snelwegen, internationale luchthavens en stadsbillboards.

Volgens een advies van CISA zijn de Daktronics VFC-DMP-5000, DMP-5000 en DMP-8000 controllers, die de grote schermen aansturen, getroffen door drie kwetsbaarheden. Deze omvatten een path traversal-kwetsbaarheid die zonder authenticatie kan worden misbruikt om willekeurige bestandspaden te lezen, een kwetsbaarheid voor het uploaden van bestanden met authenticatie, en het gebruik van standaard beheerderscredentials die volledige systeemtoegang bieden. CISA waarschuwt dat succesvolle exploitatie een niet-geauthenticeerde gebruiker root-toegang en volledige controle over het systeem kan geven.

Daktronics heeft inmiddels patches uitgebracht en adviseert gebruikers om de standaardwachtwoorden te wijzigen. De onderzoeker Thomas Jou, een student aan Princeton University, meldde aan SecurityWeek dat hij meerdere controllers heeft gevonden die direct via internet toegankelijk zijn, waardoor hackers ze op afstand kunnen aanvallen. Hij benadrukt dat het aan de klanten van Daktronics is om te zorgen dat hun systemen niet blootgesteld zijn aan het internet. De impact van de kwetsbaarheden varieert van eenvoudige verkenning tot volledige controle over het apparaat. Zo maakt de path traversal-kwetsbaarheid het mogelijk om bestanden van het apparaat te lezen, wat nuttig is voor het achterhalen van credentials. Veel apparaten gebruiken nog steeds de standaard administrator-accounts, wat het risico vergroot. Via de upload-kwetsbaarheid kan een aanvaller kwaadaardige code of content op het apparaat plaatsen, waardoor bijvoorbeeld valse of misleidende berichten op verkeersborden kunnen worden getoond.

De melding van de kwetsbaarheden verliep via het VINCE-platform van CISA, waarbij de leverancier snel reageerde. Jou rapporteerde de problemen begin januari 2026, waarna Daktronics de bevindingen erkende, samen met CISA technische details doornam en begin maart gepatchte firmware beschikbaar had. De resterende tijd tot publicatie werd gebruikt voor advisering en klantnotificatie. Daktronics heeft geen reactie gegeven op verzoeken om commentaar.