Хакеры превращают в ботнеты системы контроля доступа умных зданий

Опубликовано at 18:41
74 0

Специалисты SonicWall предупреждают о волне кибератак на умные системы контроля доступа в зданиях Linear eMerge E3, производства компании Nortek Security & Control.

Эти «аппаратные средства контроля доступа», которые устанавливаются в офисных зданиях, на заводах и так далее. Их основная цель — контролировать, к каким дверям и комнатам сотрудники и посетители могут иметь доступ, основываясь на их учетных данных (кодах доступа) и смарт-картах.

В мае прошлого года эксперты из компании Applied Risk раскрыли детали о десяти уязвимостях, затрагивающих девайсы Linear eMerge E3. Хотя шесть из десяти проблем получили 9,8 из 10 максимальных баллов по шкале CVSS3, разработчики так и не выпустили исправлений для этих багов. В итоге, выждав достаточно времени, в ноябре 2019 года специалисты Applied Risk опубликовали PoC-эксплоиты в открытом доступе.

Эксплоиты лучшие друзья хакеров (и враги ленивых компаний, не исправляющих уязвимости). Поэтому теперь, используя эксплоиты злоумышленники занимаются легким хаком: они просто ищут (видимо через Shщdan) уязвимые устройства Linear eMerge E3 и эксплуатируют против них одну из десяти ранее найденных уязвимостей: CVE-2019-7256, 10 из 10, может применить даже ребенок. Эксплуатируя дыру, злоумышленник, не прошедший аутентификацию, может использовать проблему для выполнения произвольных команд в контексте приложения через специально созданный HTTP-запрос.

В настоящее время хакеры используют данный баг для захвата контроля над устройствами, загрузки и установки малвари и последующих DDoS-атак. Тем, кому это не кажется серьезным, стоит напомнить, что помимо DDoS-атак уязвимые устройства могут быть использованы в качестве точек входа во внутренние сети организаций.

АКБ в прошлом много писало и, несомненно, еще будет писать про уязвимости умных домов, благо уже все их компоненты доказали свою уязвимость перед хакерскими атаками. Например, мы обсуждали уязвимость, через которую можно заблокировать двери во всем здании. Или климатические установки.

Читайте также на АКБ:

Большой и умный – но не безопасный: как обесточить небоскреб кликом мыши

Подписываемся, следим @CyberAgency

Related Post

Apple призвала ввести стандарт SMS-уведомлений

Опубликовано - 31.01.2020 0
Сейчас никакого единообразия не наблюдается, что позволяет легко подделывать нотификации. По мнению разработчиков Apple, пришло время стандартизировать формат SMS-сообщений, содержащих…