В системах умных городов нашли 17 уязвимостей нулевого дня

Эксперты из IBM X-Force Red совместно с представителями компании Threatcare проанализировали продукцию разработчиков систем для умных городов Libelium, Echelon и Battelle. В общей сложности исследователям удалось найти 17 брешей нулевого дня, причем восемь из них — критические, а еще шесть представляют собой серьезную опасность.

ИБ-специалисты изучили следующие модели:

  • IoT-шлюз Meshlium производства компании Libelium. Устройство используется для наблюдения за показаниями различных сенсоров, например датчиков радиационного контроля.
  • Серверы i.LON 100 / i.LON SmartServer и i.LON 600 производства Echelon.
  • Устройства для обмена данными между подключенным транспортом и инфраструктурой умного города V2I Hub v5.1 и V2I Hub v3.0 компании Battelle.

В продукте Meshlium исследователи обнаружили четыре возможности для инъекции вредоносных команд оболочки на стадии, предшествующей аутентификации пользователя. Проэксплуатировав одну из этих брешей, злоумышленник может подменять показания датчиков, например блокировать уведомления об аномалиях или создавать ложные. Атаку на IoT-шлюз эксперты продемонстрировали на конференции Black Hat, заставив прибор проигнорировать критическое повышение уровня воды в модели водоема.

Серверы Echelon, как выяснилось, позволяют обходить процедуру аутентификации. В i.LON 100 злоумышленник может извлекать и изменять логины и пароли к учетным записям через SOAP API. В устройстве i.LON 600 этой бреши нет, однако обе модели уязвимы перед манипуляциями с именем директории, к которой взломщик хочет получить доступ.

Кроме того, все проверенные исследователями серверы имеют дефолтные учетные данные, позволяют подключаться по незашифрованному каналу и хранят пароли в текстовом виде.

В хабе V2I (Vehicle to Infrastructure) версии 2.5.1 эксперты обнаружили жестко закодированные учетные данные администратора. Воспользовавшись этой брешью, злоумышленник может получить неавторизованный доступ к системе. Также продукт уязвим перед атакой типа «отказ в обслуживании» и SQL-инъекцией, а файл с ключом интерфейса программирования доступен по Сети.

В V2I-хабе версии 3.0 исследователи нашли всего один баг, зато критический. С помощью инъекции SQL-кода злоумышленник может получить доступ к внутренней базе данных и возможность читать и модифицировать информацию в ней.

По словам экспертов, разработчики ответственно отнеслись к сообщению об уязвимостях своих продуктов и оперативно выпустили патчи. Однако присутствие в системах, управляющих городами будущего, таких тривиальных багов, как жестко закодированные логин и пароль, наводит на тревожные мысли.

Исследователи считают, что производители пренебрегают безопасностью из-за спешки в реализации инновационных продуктов. Компании стремятся выйти на рынок первыми, упуская из вида возможные последствия. Весной этого года ученые обнаружили, что умные перекрестки можно сбить с толку при помощи тривиального спуфинга, а в июне ИБ-эксперту потребовалось всего две секунды на взлом электронного замка.

Источник: https://threatpost.ru/17-zero-days-in-smart-city-systems/27674/

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *