• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

В системах управления зданиями обнаружено более 100 уязвимостей

DOMINUS_EDEM

«EDEM CORP»

DOMINUS_EDEM

«EDEM CORP»
Куратор
Сообщения
152
Реакции
88
0 руб.
Telegram
19801f8b976a646b9233c8acc203030c.jpg
Команда исследователей из компании Applied Risk обнаружила более 100 уязвимостей в различных системах управления зданиями (building management system, BMS) разных популярных брендов. Их эксплуатация позволяет злоумышленнику осуществлять DoS-атаки, удаленно выполнять код и полностью скомпрометировать критические системы зданий.

Исследователи проанализировали системы управления зданиями различных поставщиков, в том числе Bosch, Nortek, Siemens, Schneider, Omron, Optergy, Trane, Tridium и пр. По результатам поисковых запросов Shodan, специалисты выявили около 19 тыс. уязвимых BMS, подключенных к Сети, большую часть из них составили BMS производства BACnet (7623 систем), Bosch (3239), Reliable Controls (3148) и Nortek (2582).

Каждая из данных систем доступна в Сети и может быть проэксплуатирована злоумышленником. BMS использовались в различных структурах, включая правительственные здания, банки, больницы или спальные районы, подвергая риску атак более 10 млн людей. Преступник может вызвать отказ отказ в обслуживании систем, подключенных к интернету, и перехватить контроль над помещениями у управляющих зданием.

Все исследованные BMS-системы содержат одни и те же уязвимости, среди которых наличие бэкдор-аккаунтов или консолей разработки, установки/конфигурации out-of-the box, установленные по умолчанию или встроенные учетные данные, отсутствие оценки безопасности прошивки, отсутствие статического анализа исходного кода, непроверенные входные параметры и недостаточная защита данных в сети и в хранилищах.
 
Сверху Снизу