Foto: Getty
Sicherheits-Forscher enthüllt Freitag, dass die Temperatur-control-Systeme eingesetzt in Gefriergeräten an tausenden von Standorten, angefangen von Lebensmittelgeschäften, Krankenhäusern, pharmazeutischen Unternehmen bedürfen der einfachen sabotage. Zu erhöhen, die Hölle, jeder müsste wissen, wo Sie suchen und die Systeme’ dumm guessable Standard-Passwort.
Die Schwachstelle, die Forscher sagen, beeinflusst das internet verbundene Thermostate gemacht von Ressourcen-Daten-Management (RDM), die Lieferungen an Firmen auf der ganzen Welt. Die Sicherheit der Beamten bei der Forschung im Labor Sicherheits-Detektiv-behaupten in Ihrem Bericht, dass Sie in der Lage waren zu erkennen 7,419 Installationen des RDM-Produkte mit großen Schwachstellen. Die Forscher sagen, dass jede installation steuert Dutzende von Maschinen, und dass RDM hat bei vielen seiner Kunden anfällig für Angriffe, die nicht erfordern eine änderung der Standard-Passwort.
Mit Shodan Suchmaschine für mit dem internet verbundene Geräte, die Forscher fanden heraus, dass es bemerkenswert einfach, um Zugriff auf die RDM-system und stellen die Temperaturen, alarm-Einstellungen, und sogar erhalten, die Pläne für die Einrichtungen, in denen die Kühlaggregate untergebracht sind. Im Falle einer Lebensmittel-Lagerung-Einrichtung in Island, zum Beispiel, sabotage, indem ein schlechter Schauspieler könnte theoretisch das Ergebnis ist eine ungeheure Verschwendung der Produkte, die es speichert, sowie Schäden, die freezers selbst, sagen die Forscher. Im Fall von einem Krankenhaus in Großbritannien oder den größten Pharma-Unternehmen in Malaysia, die Manipulation des systems theoretisch könnten lebensbedrohliche Folgen haben.
Der Grundriss von einem unbekannten Krankenhaus in Großbritannien, dass die Forscher behaupten, Sie waren in der Lage, Zugang durch RDM ist ungesicherten system.Screenshot: Sicherheit, DetektivIn Ihren berichten die Forscher behaupten:
Diese Systeme verwenden alle das ungesicherte HTTP-Protokoll und dem port 9000 (oder manchmal 8080, 8100, oder auch einfach 80). Sie alle kommen mit einem Standard-Benutzernamen und “1234” als Standard-Passwort, die selten geändert durch Systemadministratoren. Alle screenshots in diesem Bericht nicht verlangen, Eingabe von user und Passwort , aber es kam zu unserem wissen, dass fast alle Geräte verwendet werden, das Standard-Passwort.
Während die Forscher behaupten, dass es leicht zu finden die richtige URL für den Zugriff auf eines dieser Systeme, die Sie gar nicht weiter ins detail gehen, in einer Anstrengung, um Schutz RDM. Bemerkenswert ist, dass RDM scheint nicht sehr daran interessiert, den Schutz Ihrer eigenen Kunden. Die Sicherheits-Detektiv-report skizziert die Schritte, die es dauerte, um das problem gemindert werden, vor der Offenlegung öffentlich und sagt, dass seine Bemühungen wurden abgewiesen durch das Unternehmen. Die Forscher behaupten, dass Ihre ersten E-Mail die situation zu erklären blieben unbeantwortet, so ging Sie zu Kontaktieren, RDM durch social-media-Kanäle und folgende Antwort erhalten:
Vielen Dank für Ihre email und Anfahrt. Nachdem sah Ihre Dienste, Sie sind nicht von Interesse für unsere Firma.
Als senior team Mitglied innerhalb des Unternehmens kann ich bitte Sie bitten, uns zu Kontaktieren eine weitere, auf alle individuellen oder Allgemeinen E-Mail-Konten. Es wäre auch sehr dankbar, wenn Sie könnten, unterlassen tagging uns auf Beiträge in den sozialen Medien.
Die Unternehmen offenbar erkannt, dass seine Antwort unzureichend war und später schickte ein detaillierter Kommentar. RDM-Sprecher erklärte der Forscher, dass es in der Verantwortung des Kunden, um alle Passwort-änderungen und es kann nicht machen Sie software-updates aus der Ferne, ohne eine client-Berechtigung. Sie sagte, dass RDM “schreiben wird an alle uns bekannten Kunden, Installateure und Distributoren heute erinnerte Sie an die Bedeutung der änderung der default-Benutzernamen und-Passwörter und ein Teil Ihrer installation und Einrichtung.” Leider, viele admins angezeigt werden, überspringen Sie den optionalen Schritt, das Kennwort zu ändern, etwas, das vollkommen vorhersehbar.
Wir fragten, RDM, ob es irgendeinen besonderen Grund, warum es nicht einfach so benötigen Sie ein Passwort ändern, bevor Sie das system bedienen können und ein Sprecher schickte uns die gleiche Anweisung, die geliefert wurde, um die Sicherheits-Forscher. “Wir haben keine Kontrolle darüber, wie unsere Systeme sind so eingerichtet, das der installer und wir empfehlen, dass Sie Ihre Artikel richtet sich an die Nutzer und Installateure von unserer Ausrüstung”, schrieben Sie. Also, äh, RDM Kunden, wenn Sie hören, ich denke, Sie sollten in diesem Blick.
Wie TechCrunch anmerkt, Kalifornien vor kurzem ein Gesetz verabschiedet, dass die Verbote Standard-Passwörter auf neue consumer Elektronik Anfang im Jahr 2020. Die Schottland-basierte RDM ist möglicherweise nicht besonders besorgt über Kalifornien, aber die Europäische Union ist auch beäugte neue Regelungen für IoT-Produkte. Natürlich, wenn RDM die Kunden beginnen, die große Probleme hat der Hersteller den Kopfschmerzen beginnen konnte, lange bevor alle Vorschriften umgesetzt werden.
[Sicherheit Detektiv research lab via TechCrunch]
Teilen Sie Diese Geschichte