Специалисты SonicWall предупреждают о волне кибератак на умные системы контроля доступа в зданиях Linear eMerge E3, производства компании Nortek Security & Control.
Эти «аппаратные средства контроля доступа», которые устанавливаются в офисных зданиях, на заводах и так далее. Их основная цель — контролировать, к каким дверям и комнатам сотрудники и посетители могут иметь доступ, основываясь на их учетных данных (кодах доступа) и смарт-картах.
В мае прошлого года эксперты из компании Applied Risk раскрыли детали о десяти уязвимостях, затрагивающих девайсы Linear eMerge E3. Хотя шесть из десяти проблем получили 9,8 из 10 максимальных баллов по шкале CVSS3, разработчики так и не выпустили исправлений для этих багов. В итоге, выждав достаточно времени, в ноябре 2019 года специалисты Applied Risk опубликовали PoC-эксплоиты в открытом доступе.
Эксплоиты лучшие друзья хакеров (и враги ленивых компаний, не исправляющих уязвимости). Поэтому теперь, используя эксплоиты злоумышленники занимаются легким хаком: они просто ищут (видимо через Shщdan) уязвимые устройства Linear eMerge E3 и эксплуатируют против них одну из десяти ранее найденных уязвимостей: CVE-2019-7256, 10 из 10, может применить даже ребенок. Эксплуатируя дыру, злоумышленник, не прошедший аутентификацию, может использовать проблему для выполнения произвольных команд в контексте приложения через специально созданный HTTP-запрос.
В настоящее время хакеры используют данный баг для захвата контроля над устройствами, загрузки и установки малвари и последующих DDoS-атак. Тем, кому это не кажется серьезным, стоит напомнить, что помимо DDoS-атак уязвимые устройства могут быть использованы в качестве точек входа во внутренние сети организаций.
АКБ в прошлом много писало и, несомненно, еще будет писать про уязвимости умных домов, благо уже все их компоненты доказали свою уязвимость перед хакерскими атаками. Например, мы обсуждали уязвимость , через которую можно заблокировать двери во всем здании. Или климатические установки .
Читайте также на АКБ:
Большой и умный – но не безопасный: как обесточить небоскреб кликом мыши
