Эксперты нашли 17 брешей нулевого дня в системах для умных городов Libelium, Echelon и Battelle | iot.ru Новости Интернета вещей
105.0 € 110.4

Эксперты нашли 17 брешей нулевого дня в системах для умных городов Libelium, Echelon и Battelle

Эксперты из IBM X-Force Red и компании Threatcare нашли в системах для умных городов Libelium, Echelon и Battelle 17 уязвимостей нулевого дня (дефектов, против которых еще не разработаны защитные механизмы), в том числе восемь критических.

Специалисты протестировали IoT-шлюз Meshlium производства испанской Libelium (устройство для наблюдения за показаниями сенсоров), серверы i.LON 100 / i.LON SmartServer и i.LON 600 производства Echelon (США), а также устройства для обмена данными между подключенным транспортом и инфраструктурой V2I Hub v5.1 и V2I Hub v3.0 от американской компании Battelle. Четыре способа внедрения вредоносных команд в Meshlium позволили подменить показания датчиков, блокировать и фальсифицировать уведомления о происшествиях. Уязвимость в серверах Echelon позволила обойти процедуру аутентификации. В i.LON 100 исследователям удалось несанкционированно заменить логины и пароли. i.LON 600 оказался устойчив к этой атаке, но обе модели оказались беззащитны перед манипуляциями с именем директории, в которую хочет проникнуть взломщик. При этом все серверы, подвергшиеся тестированию, имеют учетные данные по умолчанию, имеют функцию подключения по незашифрованному каналу и хранят пароли в виде текста.

Хаб V2I версии 5.1 позволила экспертам получить неавторизованный доступ к системе, продемонстрировал уязвимость перед атакой типа «отказ в обслуживании» и SQL-инъекцией, а файл с ключом интерфейса программирования оказался доступен по Сети. V2I-хаб версии 3.0 посредством инъекции SQL-кода открывал доступ к внутренней базе данных с возможностью читать и изменять находящуюся в ней информацию.

Все разработчики уже выпустили обновления для закрытия этих уязвимостей.  

Подписаться на новости Обсудить

Назад

Комментарии

Текст сообщения*
Защита от автоматических сообщений