АКБ ранее формулировало проблему домашних систем умных домов как разрозненность рынка, где в условиях отсутствия единого стандарта (сколько нацстандартов не принимай), несомненно, в разных компонентах найдутся дыры для хакеров. Казалось бы, серьезные системы умных зданий, b2b от крупных контор, должны быть немного лучше защищены. Это не так.
Специалист Applied Risk Геко Крстич обнаружил незадокументированные бэкдоры в автоматизированных системах управления зданиями Proton и Enterprise производства известной компании Optergy. При этом одна из уязвимостей позволяет получить полный доступ к системе, используя недокументированный бэкдор. Проблеме присвоен максимальный уровень угрозы – 10 баллов по шкале CVSS 3.0.
Согласно описанию бага CVE-2019-7276, злоумышленники могли воспользоваться им для удаленного выполнения кода на уязвимом устройстве с максимальным уровнем привилегий. Технические детали пока не раскрываются, но в эксплуатации уязвимость очень проста: на конференции Hack In The Box в прошлом месяце Крстич сообщил, что, используя уязвимость, можно «обесточить здание одним щелчком мыши».
Другая важная уязвимость, CVE-2019-7274 (9,9 балла) – благодаря ей атакующие могут загружать или передавать вредоносные файлы, автоматически выполняемые в операционной среде устройства (в данном случае компонента умного здания).
Крстич также нашел ряд других уязвимостей в системах Proton и Enterprise:
CVE-2019-7278 (7,3 балла) – неавторизованные пользователи могут применять недокументированные возможности для получения доступа к некоторым ресурсам через интерфейс удаленного управления системой.
CVE-2019-7279 (7,3 балла) – преступники могут воспользоваться уязвимостью для несанкционированной отправки SMS на любой телефонный номер.
CVE-2019-7272 (5,3 балла) – злоумышленники могут получить доступ к учетным данным всех пользователей в системе.
CVE-2019-7273 (5 баллов) – уязвимость приложения к CSRF-атакам позволяет выполнить некоторые действия с правами администратора, если пользователь, авторизовавшись, зайдет на вредоносный сайт.
CVE-2019-7275 (3,1 балла) позволяет перенаправить пользователя на недоверенный сайт.
«Мы исправляем все проблемы, о которых нам сообщили, и проводим собственные регулярные испытания», – заявил журналистам TechCrunch президент Optergy Стив Гузелимян. По состоянию на 6 июня, под угрозой все еще оставались 50 зданий.
АКБ в прошлом много писало и, несомненно, еще будет писать про уязвимости умных домов, благо уже все их компоненты доказали свою уязвимость перед хакерскими атаками. Например, мы обсуждали уязвимость , через которую можно заблокировать двери во всем здании. Или климатические установки .
Еще несколько материалов по теме:
Ну совсем не умный дом: смарт-жилище можно взломать через розетку — или даже без нее
Самый умный что ли: новый ботнет Hide ‘N Seek атакует системы умных домов
Самый популярный протокол для умных домов оказалось легко взломать
Половина всех бизнесов не могут уследить за безопасностью умных устройств
