SOS :: Security Operation Space
16 июня, воскресенье, 00:00
|
Hot News:

Бэкдор позволяет перехватить контроль над умным зданием

10 июня 2019 г., понедельник, 17:05

С помощью одной из уязвимостей системы управления Optergy можно обесточить все строение одним щелчком мыши.

Специалист Applied Risk Геко Крстич (Gjoko Krstic) обнаружил незадокументированные бэкдоры в автоматизированных системах управления зданиями Optergy. Одна из уязвимостей позволяет получить полный доступ к устройству Proton, предназначенному для удаленного контроля помещений. Проблеме присвоен максимальный уровень угрозы — 10 баллов по шкале CVSS 3.0.

Согласно описанию бага CVE-2019-7276, злоумышленники могли воспользоваться им для удаленного выполнения кода на уязвимом устройстве с максимальным уровнем привилегий. Технические детали пока не раскрываются, но Крстич отметил простоту эксплуатации проблемы. Исследователь обнаружил и другие угрозы в системах автоматизированного управления Proton и Enterprise производства компании Optergy:

  • CVE-2019-7274 (9,9балла) — атакующие могут загружать или передавать вредоносные файлы, автоматически выполняемые в операционной среде устройства.
  • CVE-2019-7278 (7,3балла) — неавторизованные пользователи могут применять недокументированные возможности для получения доступа к некоторым ресурсам через интерфейс удаленного управления системой.
  • CVE-2019-7279 (7,3балла) — преступники могут эксплуатировать уязвимость CWE-749 для отправки SMS на любой телефонный номер.
  • CVE-2019-7272 (5,3балла) — злоумышленники могут получить доступ к учетным данным всех пользователей в системе.
  • CVE-2019-7273 (5,0балла) — атакующие могут эксплуатировать CSRF-уязвимости веб-приложения для выполнения действий с правами администратора.
  • CVE-2019-7275 (3,1балла) — преступники могут использовать уязвимости веб-приложения для перенаправления жертв на произвольные URL-адреса.

«Мы исправляем все проблемы, о которых нам сообщили, и проводим собственные регулярные испытания», — сообщил президент Optergy Стив Гузелимян (Steve Guzelimian). Называть точное количество уязвимых устройств он отказался. По словам Крстича, шестого июня под угрозой все еще оставались 50 зданий.

Взлом систем управления зданиями в 2017 году был назван одной из угроз скорого будущего — к такому выводу в своем отчете для Министерства внутренней безопасности США пришли аналитики из Института программной инженерии. Этого мнения придерживается и Крстич: он сообщил в прошлом месяце на конференции Hack In The Box, используя уязвимость, можно «обесточить здание одним щелчком мыши».

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:02
14:17
14:12
14:10
13:15
12:26
12:15
09:15
07:15
07:15
06:15
06:15
17:32
16:15
15:15
14:53
13:19
12:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.268
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.