Foto: Getty
Security forskere avslørte fredag at temperaturen kontroll systemer som brukes i frysere på tusenvis av steder alt fra dagligvarebutikker til sykehus for å farmasøytiske selskapene er underlagt enkel sabotasje. For å heve helvete, alt noen trenger å vite er hvor du skal lete og systemer’ dumt guessable standard passord.
Sårbarheten, sier forskerne, påvirker som er koblet til internett termostater laget av Ressurs Data Management (RDM), som leverer til bedrifter over hele verden. Sikkerhet tjenestemenn ved forskning lab Sikkerhet Detektiv hevder i sin rapport at de var i stand til å identifisere 7,419 installasjoner av RDM er produkter med store sikkerhetsproblemer. Forskerne sier at hver installasjon kontroller dusinvis av maskiner, og at RDM har forlatt mange av sine klienter utsatt for angrep ved å ikke kreve en endring til standard passord.
Ved hjelp av Shodan søkemotor for internett-tilkoblede enheter, forskerne fant at det var utrolig lett å få tilgang til en RDM-systemet og justere temperaturer, alarminnstillinger, og selv få etasje planer for anlegg der det kjøleaggregater er plassert. I tilfelle av en mat lagringsanlegget på Island, for eksempel, sabotasje av en dårlig skuespiller kan teoretisk sett resultere i en enorm sløsing av produkter, er det butikker, samt skade på fryseboks i seg selv, sier forskerne. I tilfelle av et sykehus i STORBRITANNIA som de største farmasøytiske selskapet i Malaysia, tukling med systemer kan teoretisk sett ha livstruende konsekvenser.
Plantegning av en uidentifisert sykehus i NORGE for at forskere hevder de var i stand til å få tilgang til gjennom RDM er usikret system.Skjermbilde: Sikkerhet DetektivI sin rapport, sier forskerne:
Disse systemene bruker alle usikret HTTP-protokollen og 9000-port (eller noen ganger 8080, 8100, eller til og med bare 80). De alle kommer med en standard brukernavn og “1234” som standard passord, noe som er sjelden endret av system-administratorer. Alle bildene er tatt med i denne rapporten ikke trenger å skrive inn brukernavn og passord , men det kom til vår kunnskap om at nesten alle enheter som brukes standard passord.
Mens forskere hevder det er enkelt å finne den riktige URL-adressen for å få tilgang til en av disse systemene, kan de ikke gå inn i ytterligere detalj i et forsøk på å beskytte RDM. Bemerkelsesverdig, RDM synes ikke veldig interessert i å beskytte sine egne kunder. Sikkerhet Detektiv rapporten beskriver trinnene som det tok å bøte på dette problemet før avsløre det offentlig og sier sin innsats ble avvist av selskapet. Forskerne hevder at deres opprinnelige e-posten for å forklare situasjonen ubesvart, så de fortsatte å kontakte RDM gjennom sosiale medier og fikk følgende svar:
Takk for din e-post og tilnærming. Etter å ha sett på din tjenester de er ikke av interesse for vårt firma.
Som et ledende medlem av teamet i selskapet kan jeg be deg om å avstå fra å ta kontakt med oss videre, og på noen av individuelle eller generelle e-postkontoer. Det vil også være stor pris på om du kunne avstå fra merking oss på innlegg på sosiale medier.
Selskapet tydeligvis innsett at svar var utilstrekkelig, og senere sendte en mer detaljert kommentar. En RDM talsperson forklart til forskere at det var kundens ansvar å gjøre alle passord endringer og det kan ikke lage programvareoppdateringer eksternt uten kundens tillatelse. De sa at RDM “vil skrive til alle våre kjente kunder, Montører og distributører i dag minner dem om viktigheten av å endre standard brukernavn og passord, og en del av deres installasjon og oppsett.” Dessverre er det mange admins synes å være å hoppe over den ekstra trinn for å endre passord, noe som er helt forutsigbar.
Vi spurte RDM hvis det er noen spesiell grunn til at den ikke bare krever en endring av passord før systemet kan fungere, og en talsperson sendt oss den samme uttalelse som ble levert til sikkerhet forskere. “Vi har ingen kontroll over hvordan våre systemer er satt opp av installasjonsprogrammet, og vi foreslår at artikkelen er rettet mot brukere og installatører av utstyret vårt,” skrev de. Så, eh, RDM-klienter, hvis du lytter, jeg tror du bør se inn i det.
Som TechCrunch poeng ut, California nylig vedtatt en lov som forbyr standard passord på ny forbrukerelektronikk begynnelsen i 2020. Skottland-baserte RDM kan ikke være spesielt bekymret California, men den Europeiske Union er også eyeing nye regler for IoT produkter. Selvfølgelig, hvis RDM kunder start opplever store problemer, produsentens hodepine kunne begynne lenge før noen regelverket er implementert.
[Sikkerhet Detektiv research lab via TechCrunch]
Deler Denne Historien