Обновлено 12 Февраля 2019 Года,

Израильские хакеры и активисты Ноам Ротем и побежал я от счастья детектива исследовательской лаборатории обнаружили серьезное нарушение правил безопасности в системах контроля температуры производства управление данными ресурсами, в Шотландии на основе дистанционного мониторинга решений компании.

Эти системы используются в больницах и супермаркетов по всему миру, включая знаки & Спенсер, супермаркета, как и многие другие.

Базовое сканирование выявляет сотни установок в Великобритании, Австралии, Израиля, Германии, Нидерландов, Малайзии, Исландии и многих других странах мира. Поскольку каждая установка включает в себя десятки машин, мы смотрим на многие тысячи уязвимостей.

Этот скриншот от Shodan поисковик для подключенных к интернету устройств показывает, 7419 установок с уязвимостями (коррекция: после дальнейшего анализа безопасности детектив расчетам есть сотни мест, тысячи пострадавших (мы подтвердили 10,606 случаях). Прочитать все подробности и комментарии ниже.

Эти системы используют незащищенный протокол HTTP и порт 9000 (или иногда 8080, 8100, или даже просто 80). Они все приходят с именем пользователя по умолчанию и “1234” в качестве пароля по умолчанию, которая очень редко меняется, системных администраторов. Все скриншоты сделанные в этом докладе не требует ввода логинов и паролей, но он пришел к наше внимание, что практически все устройства, используйте пароль по умолчанию.

Системы могут быть доступны через любой браузер. Все, что вам нужно, это правильный URL-адрес, который, как и наши тесты показывают, не слишком трудно найти. Мы не будем вдаваться в детали здесь, как это не было нашим намерением, чтобы стимулировать взлома систем, которые могли бы в буквальном смысле поставить под угрозу жизни; но все это занимает простой поиск Google.

Мы поручили нашим секретарем офиса о том, как найти других устройствах онлайн, и она быстро нашла фабрику охлаждения в Германии и больница в Великобритании, используя только Google.

С Шодан, потенциальный злоумышленник может идентифицировать тысяч устройств.

Вот макет сайта из больницы в Великобритании:

Вот похожие страницы макета от крупного супермаркета:

Ниже подробные сведения о Один из этих машин, а именно витрины в большом супермаркете. Обратите внимание, как это доступно через незащищенный URL-адрес. Чтобы разморозить эту машину, все, что вам нужно сделать, это нажать на кнопку и введите имя пользователя и пароль по умолчанию.

Здесь мы могли легко получить доступ к системе охлаждения на знаки и Brooklands Спенсер:

Мы не только способны менять холодильник и параметры морозильник через эту систему, мы могли бы также изменить настройки пользователя, настройки будильника и многое другое.

Как упоминалось ранее, эти системы устанавливаются компаниями в странах по всему миру. Здесь мы были в состоянии получить доступ к системе холодильной установки для хранения продуктов питания в Исландии:

Nod32 лучше?  Как отключить слежку в Windows 10

Здесь мы были в состоянии получить доступ к системе из крупнейших фармацевтических компаний в Малайзии.

И список продолжается и на. Другие потенциальные жертвы нарушения безопасности включают в себя:

  • Меню Итальяно, итальянский производитель продуктов питания, с места в Италии, Дании, Бельгии, Швеции, Германии и Китае
  • Muenstermann Kuelhaus я Гроссмаркет Dueseldorf, средство охлаждения в Германии
  • СКК Duopharma биотехнологических компаниях, фармацевтическая компания из Селангор, Малайзия

В эпоху Интернета вещей, системные администраторы должны проявлять особую осторожность, чтобы обезопасить свои удаленные системы, а не полагаться на настройки по умолчанию производителей. Это особенно важно, когда она в буквальном смысле становится вопросом жизни и смерти, как показано в приведенных выше примерах.

Ответ

Мы уведомили управление данными ресурсами серьезную уязвимость, призывая их исправить как можно скорее и обеспечивал техническую информацию и скриншот доказательства того, что хакеры могут получить информацию своих клиентов. Когда они ничего не ответили, Мы связались с ними через Twitter (без раскрытия информации о характере уязвимости). Мы были поражены, чтобы получить официальный ответ от управления данными ресурсами по электронной почте:

Добрый День,

Спасибо за ваше письмо и подход. Посмотрев на свои услуги они не представляют интереса для нашей компании.

Как старший член команды внутри компании, пожалуйста, могу я попросить вас воздержаться от обращения к нам дальше, на каких-либо индивидуальных или общих учетных записей электронной почты. Было бы весьма признательны, если вы могли бы воздержаться от мечения нас на посты в социальных сетях.

Спасибо за ваше сотрудничество.

Обновление: мы получили следующий ответ от РДМ

Детектив отдела безопасности, спасибо за информацию.

Чтобы прояснить ситуацию с РДМ мы бы подтвердили, что пароли по умолчанию должны быть изменены установщиком в момент установки. РДМ не имеем никакого контроля над тем, где наши системы идут и кто их установить. Мы четко прописано в документации, что пароли по умолчанию должны быть изменены при установке системы. Его похожим на стандартный маршрутизатор по умолчанию имена пользователей и пароли админ.

Мы также хотели бы отметить, что мы не имеем возможности удаленного подключения к нескольким системам и даже если это возможно, чтобы обновить наше программное обеспечение, удаленно мы не можем сделать это без согласия собственника. Мы будем информировать владельцев, что у нас нового программного обеспечения с новыми функциями и возможностями, но в конечном итоге, именно к ним с просьбой обновления, который может быть совершен с помощью USB-локально или там установщик/сопровождение удаленно.

Я надеюсь, что это проясняет ситуацию. Мы не имеем никакого контроля над тем, как наши системы настроены установщиком и мы предлагаем Вашей статьи направлен на пользователей и установщиков оборудования. Мы будем писать на всех наших известных клиентов, Монтажников и дистрибьюторов сегодня напомнить им о важности изменения по умолчанию имена пользователей и пароли, и часть их установка и настройка.

Nod32 лучше?  Что такое интернет-мошенников? И как защититься от него

Обновление: мы получили третий ответ от RDM (11 февраля 2019 года,)

Детектив Отдела Безопасности,

Далее в своей статье, которая была опубликована в пятницу. Мы нашли следствия немного запутанным, так как большинство сайтов на Шодан отчетов, которые были выявлены в России, у нас продается очень мало систем в этой стране.

Мы исследовали дальше и нашел отчет на самом деле показывает открытые системы в интернет с помощью “##удалить строку (Южная Дакота)##” веб-сервер, который является тем, что мы используем в Диспетчере данных.

После дальнейшей проверки этот отчет показывает каждый производитель устройств, таких как маршрутизаторы и т. д., который использует этот веб-сервер. Основная часть этих устройств выглядят 3-й партии устройств, а не менеджеры данных.

Прилагаю наши планы, чтобы помочь с вопросов, затронутых в вашей статье.

Мы благодарим Вас за выделение в пятницу и принести свои извинения, если наша первая реакция, казалось, не только благодарны, я уверен, что вы поймете, мы получили ваше первое письмо в наш спам ведро вместе со многими другими спам и изначально казалось немного расплывчатым. Следовательно, наш ответ. Однако после контакта в четверг днем мы не принять меры для защиты наших пользователей и есть план снять все по умолчанию использует идти вперед и добавили уникальный набор пароля в системе.

Мы были бы признательны, если вы могли бы опубликовать наши обновления.

Обновления и исправления в этот отчет (11 февраля 2019 года,)

РДМ пояснил, что не может быть столько, сколько 7000 установок, как мы изначально сообщили. Кроме того, ряд независимых исследователей протянул руку, чтобы дать нам знать, что число пострадавших установок и холодильников ниже, чем первоначально сообщалось, утверждая, что было между 600-700 основываясь на том, что казалось бы серьезное расследование.

Как всегда, когда мы связываемся с целью информировать их о нарушениях требований безопасности, первоначальная реакция обычно бывает отрицание, затем поставить под сомнение законность наших исследований и, как мы подсчитали цифры, тем самым преуменьшая проблему. Поэтому, когда другие исследователи также отмечали проблемы с наши оригинальные номера, мы думали, что это будет хорошая идея, чтобы вернуться и проверить наши предварительные исследования.

В приватном общении с одним исследователем, мы попросили, если они действительно ожидали, что мы проверяем более 7000 адресов для того, чтобы подсчитать количество холодильники в каждом месте. Исследователь предположил, что при проверке обоснованности требований было слишком много работы, то, возможно, мы были не в том дело, чтобы начать. Поэтому мы решили прислушаться к нашим критикам и сделать некоторые строгую проверку, то для того, чтобы обеспечить целостность нашего исследования, и давать правильные, выверенные цифры на благо общественности.

Nod32 лучше?  Как удалить вредоносные программы для мобильных устройств и сохранить ваши устройства защищены в 2019

Наша методика

  1. Мы загрузили данные Шодан на 7419 места и открыл несколько десятков ссылок. Многие URL-адреса больше не доступен (надеюсь благодаря улучшению безопасности владельцами холодильник).
  2. Затем мы посмотрели на 2215 URL-адреса, предусмотренный Кодексом OK200 статус.
  3. Мы нашли шаблон в тег title На страницах, что были реальные сайты, а не маршрутизаторы, а также смогли экрана 380 результаты.
  4. Тогда мы тщательно осмотрели все 380 результаты и обнаружил, что 319 полностью открытые локации с холодильником доступным для всех, со ссылкой, в том числе 10 больниц в Великобритании.
  5. Затем мы взяли первые 24 URL-адреса из списка, которые, казалось, были распределены и включены локации из США, Малайзии, Франция, Великобритания, Новая Зеландия, Австралия, Канада, Исландия и Нидерланды. Мы считаем, что они представляют собой хороший образец 319 мест, откуда они приехали.
  6. Наконец, мы вручную посчитал количество холодильники, холодильные и морозильные камеры в каждом месте. Из этих 24 местах, в общей сложности 798 машин, поэтому в среднем отработано до 33,25 холодильников на месте.

На основе приведенного выше анализа, мы можем подтвердить, что есть 319 мест, с ориентировочной 10,606 машины, которые по-прежнему доступны в интернете, как в этом последнем обновлении (через пять дней после мы провели исследование и, надеюсь, после того, как многие предприятия уже исправлена проблема с 12 февраля).

Мы хотим напомнить нашим читателям, что Шодан не подковерная весь интернет. Тот факт, что пять дней прошли, и мы были очень консервативны в нашей методологии, с тем чтобы представить наименьшее количество уязвимостей, означает, что мы уверены в том, что последствия нарушения были бы намного больше. Однако, мы не думаем, что важным является вопрос о том, существуют ли 7000, 8000, или даже пересмотренная оценка в 10 000 холодильников доступны для хакеров, но, скорее, почему так много людей думали, что подключение машины к сети, оставаясь доступным для всех, не вызывая подозрений.

Мы хотим поблагодарить всех, кто поощряет нас быть более точным с нашими исследованиями, что позволило улучшить результаты этого отчета.

Последние отчеты

Вы можете также прочитать о том, почему мы считаем Касперского вирус , как взломать этически, а недавно обнаружили серьезное нарушение правил безопасности, затрагивающих почти половину от всех авиакомпаний по всему миру.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *