Бэкдор позволяет перехватить контроль над умным зданием

С помощью одной из уязвимостей системы управления Optergy можно обесточить все строение одним щелчком мыши.

Специалист Applied Risk Геко Крстич (Gjoko Krstic) обнаружил незадокументированные бэкдоры в автоматизированных системах управления зданиями Optergy. Одна из уязвимостей позволяет получить полный доступ к устройству Proton, предназначенному для удаленного контроля помещений. Проблеме присвоен максимальный уровень угрозы — 10 баллов по шкале CVSS 3.0.

Согласно описанию бага CVE-2019-7276, злоумышленники могли воспользоваться им для удаленного выполнения кода на уязвимом устройстве с максимальным уровнем привилегий. Технические детали пока не раскрываются, но Крстич отметил простоту эксплуатации проблемы. Исследователь обнаружил и другие угрозы в системах автоматизированного управления Proton и Enterprise производства компании Optergy:

• CVE-2019-7274 (9,9балла) — атакующие могут загружать или передавать вредоносные файлы, автоматически выполняемые в операционной среде устройства.
• CVE-2019-7278 (7,3балла) — неавторизованные пользователи могут применять недокументированные возможности для получения доступа к некоторым ресурсам через интерфейс удаленного управления системой.
• CVE-2019-7279 (7,3балла) — преступники могут эксплуатировать уязвимость CWE-749 для отправки SMS на любой телефонный номер.
• CVE-2019-7272 (5,3балла) — злоумышленники могут получить доступ к учетным данным всех пользователей в системе.
• CVE-2019-7273 (5,0балла) — атакующие могут эксплуатировать CSRF-уязвимости веб-приложения для выполнения действий с правами администратора.
• CVE-2019-7275 (3,1балла) — преступники могут использовать уязвимости веб-приложения для перенаправления жертв на произвольные URL-адреса.

«Мы исправляем все проблемы, о которых нам сообщили, и проводим собственные регулярные испытания», — сообщил президент Optergy Стив Гузелимян (Steve Guzelimian). Называть точное количество уязвимых устройств он отказался. По словам Крстича, шестого июня под угрозой все еще оставались 50 зданий.

Взлом систем управления зданиями в 2017 году был назван одной из угроз скорого будущего — к такому выводу в своем отчете для Министерства внутренней безопасности США пришли аналитики из Института программной инженерии. Этого мнения придерживается и Крстич: он сообщил в прошлом месяце на конференции Hack In The Box, используя уязвимость, можно «обесточить здание одним щелчком мыши».

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля