Эксперты нашли 17 брешей нулевого дня в системах для умных городов Libelium, Echelon и Battelle
Эксперты из IBM X-Force Red и компании Threatcare
нашли в системах для умных городов Libelium, Echelon и Battelle 17 уязвимостей нулевого дня (дефектов, против которых еще не разработаны защитные механизмы), в том числе восемь критических.
Специалисты протестировали IoT-шлюз Meshlium производства испанской Libelium (устройство для наблюдения за показаниями сенсоров), серверы i.LON 100 / i.LON SmartServer и i.LON 600 производства Echelon (США), а также устройства для обмена данными между подключенным транспортом и инфраструктурой V2I Hub v5.1 и V2I Hub v3.0 от американской компании Battelle. Четыре способа внедрения вредоносных команд в Meshlium позволили подменить показания датчиков, блокировать и фальсифицировать уведомления о происшествиях. Уязвимость в серверах Echelon позволила обойти процедуру аутентификации. В i.LON 100 исследователям удалось несанкционированно заменить логины и пароли. i.LON 600 оказался устойчив к этой атаке, но обе модели оказались беззащитны перед манипуляциями с именем директории, в которую хочет проникнуть взломщик. При этом все серверы, подвергшиеся тестированию, имеют учетные данные по умолчанию, имеют функцию подключения по незашифрованному каналу и хранят пароли в виде текста.
Хаб V2I версии 5.1 позволила экспертам получить неавторизованный доступ к системе, продемонстрировал уязвимость перед атакой типа «отказ в обслуживании» и SQL-инъекцией, а файл с ключом интерфейса программирования оказался доступен по Сети. V2I-хаб версии 3.0 посредством инъекции SQL-кода открывал доступ к внутренней базе данных с возможностью читать и изменять находящуюся в ней информацию.
Все разработчики уже выпустили обновления для закрытия этих уязвимостей.
Подписаться на новости
Обсудить
Специалисты протестировали IoT-шлюз Meshlium производства испанской Libelium (устройство для наблюдения за показаниями сенсоров), серверы i.LON 100 / i.LON SmartServer и i.LON 600 производства Echelon (США), а также устройства для обмена данными между подключенным транспортом и инфраструктурой V2I Hub v5.1 и V2I Hub v3.0 от американской компании Battelle. Четыре способа внедрения вредоносных команд в Meshlium позволили подменить показания датчиков, блокировать и фальсифицировать уведомления о происшествиях. Уязвимость в серверах Echelon позволила обойти процедуру аутентификации. В i.LON 100 исследователям удалось несанкционированно заменить логины и пароли. i.LON 600 оказался устойчив к этой атаке, но обе модели оказались беззащитны перед манипуляциями с именем директории, в которую хочет проникнуть взломщик. При этом все серверы, подвергшиеся тестированию, имеют учетные данные по умолчанию, имеют функцию подключения по незашифрованному каналу и хранят пароли в виде текста.
Хаб V2I версии 5.1 позволила экспертам получить неавторизованный доступ к системе, продемонстрировал уязвимость перед атакой типа «отказ в обслуживании» и SQL-инъекцией, а файл с ключом интерфейса программирования оказался доступен по Сети. V2I-хаб версии 3.0 посредством инъекции SQL-кода открывал доступ к внутренней базе данных с возможностью читать и изменять находящуюся в ней информацию.
Все разработчики уже выпустили обновления для закрытия этих уязвимостей.
Назад