Foto: Getty
Beveiliging onderzoekers bleek vrijdag dat de temperatuur controle systemen die gebruikt worden in de vriezer op duizenden locaties, variërend van supermarkten tot ziekenhuizen en farmaceutische bedrijven zijn onderworpen aan eenvoudige sabotage. Verhogen van de hel, alles wat iemand nodig zou hebben om te weten waar te kijken en de systemen’ dom te raden zijn standaard wachtwoord.
De kwetsbaarheid, de onderzoekers zeggen, van invloed is op het internet aangesloten thermostaten gemaakt door Resource ‘ Data Management (RDM), die levert aan bedrijven over de hele wereld. Veiligheid ambtenaren bij het research lab Veiligheid Detective zeggen in hun rapport dat zij in staat waren te identificeren 7,419 installaties van de RDM-producten met belangrijke kwetsbaarheden. De onderzoekers zeggen dat elke installatie controles tientallen machines, en dat RDM heeft links veel van haar cliënten kwetsbaar voor aanvallen door niet te eisen dat een wijziging van het standaard wachtwoord.
Met behulp van Shodan zoekmachine voor het internet aangesloten apparaten, vonden de onderzoekers dat het opmerkelijk gemakkelijk is om toegang te krijgen tot een RDM-systeem en het aanpassen van de temperatuur, alarm instellingen en zelfs het verkrijgen van plattegronden voor de faciliteiten waar de koelinstallaties zijn ondergebracht. In het geval van een opslag van voedsel faciliteit in Ijsland bijvoorbeeld, sabotage door een slechte acteur kan in theorie leiden tot een enorme verspilling van de producten, de winkels en schade aan de diepvriezers zelf, zeggen de onderzoekers. In het geval van een ziekenhuis in het verenigd koninkrijk of de grootste farmaceutische bedrijf in Maleisië, het knoeien met de systemen kunnen in theorie levensbedreigende gevolgen hebben.
De plattegrond van een onbekend ziekenhuis in het verenigd koninkrijk dat de onderzoekers beweren dat ze in staat waren om toegang te krijgen tot door RDM ‘ s onbeveiligd systeem.Screenshot: Veiligheid DetectiveIn hun rapport, de onderzoekers stellen:
Deze systemen maken allemaal gebruik van onbeveiligde HTTP-protocol en de 9000-poort (of soms 8080, 8100, of zelfs gewoon 80). Ze zijn allemaal uitgerust met een standaard gebruikersnaam en het “1234” als het standaard wachtwoord, die zelden gewijzigd door system administrators. Alle screenshots in dit rapport niet nodig het invoeren van de gebruikersnaam en wachtwoord , maar het ging om onze kennis op dat bijna alle apparaten die worden gebruikt het standaard wachtwoord.
Terwijl de onderzoekers beweren dat het gemakkelijk is om te zoeken van de juiste URL om toegang te krijgen tot een van deze systemen, ze wilde niet ingaan op verdere details in een poging om de bescherming van de RDM. Opmerkelijk, RDM lijkt niet erg geïnteresseerd in het beschermen van haar eigen klanten. De Beveiliging Detective rapport schetst de stappen die zij nam dit probleem te verminderen vóór de openbaarmaking van het publiek en zegt haar inspanningen werden afgewezen door het bedrijf. De onderzoekers beweren dat hun eerste e-mail uitleg van de situatie onbeantwoord, zodat ze vervolgens contact RDM via de social media kanalen en kreeg de volgende reactie:
Dank u voor uw e-mail en aanpak. We keken naar uw diensten zij zijn niet van belang voor ons bedrijf.
Als een senior lid van het team binnen het bedrijf kan ik vraag u om zich te onthouden van contact met ons verder, op elk van individuele of algemene e-mailaccounts. Het zou ook zeer op prijs stellen als u zou kunnen afzien van tagging ons op de posts op de sociale media.
Het bedrijf blijkbaar besefte dat haar antwoord was onvoldoende en stuurde later een meer gedetailleerde reactie. Een RDM-woordvoerder legde de onderzoekers dat het de verantwoordelijkheid van de opdrachtgever om een wachtwoord te wijzigingen en het niet maken van software-updates op afstand zonder een cliënt ‘ s toestemming. Ze zei dat RDM “zal schrijven naar alle ons bekende klanten, Installateurs en distributeurs vandaag herinneren aan het belang van het wijzigen van de standaard gebruikersnamen en wachtwoorden en een deel van hun installatie en set-up.” Helaas, veel beheerders lijken het overslaan van de optionele stap van het wachtwoord te veranderen, iets dat geheel voorspelbaar.
We vroegen RDM als er een bijzondere reden is het niet gewoon vereisen een wachtwoord te wijzigen voordat het systeem kan werken en een woordvoerder stuurde ons dezelfde verklaring die werd geleverd om de veiligheid onderzoekers. “We hebben geen controle over hoe onze systemen zijn ingesteld door de installateur en we raden u aan uw artikel is gericht op de gebruikers en installateurs van onze apparatuur,” schreven ze. Dus, uh, RDM klanten, als je luistert, ik denk dat je moet kijken naar.
Als TechCrunch wijst erop, Californië onlangs een wet aangenomen die het verbiedt standaard wachtwoorden op nieuwe consumentenelektronica begin in 2020. De Schotland-gebaseerd RDM kan niet in het bijzonder bezorgd over Californië, maar de Europese Unie is ook een blik op een nieuwe regeling voor de IoT producten. Natuurlijk, als RDM klanten beginnen met het ervaren van grote vraagstukken van de fabrikant hoofdpijn kon beginnen lang voordat er sprake is van regelgeving zijn geïmplementeerd.
[Veiligheid Detective onderzoek lab via TechCrunch]
Deel Dit Verhaal