Tyrėjas teigia, kad įsilaužėliai gali sukurti kamščius dėl šviesoforo valdiklio trūkumo


Saugumo tyrinėtojas teigia aptikęs šviesoforų valdiklio trūkumą, dėl kurio piktybiniai įsilaužėliai galėtų pakeisti šviesas ir susidaryti kamščius.

Kibernetinio saugumo įmonės „Red Threat“ tyrėjas Andrew Lemonas ketvirtadienį paskelbė du tinklaraščio įrašus, kuriuose išsamiai aprašo platesnio tyrimo projekto, tiriančio eismo reguliuotojų saugumą, išvadas.

Vienas iš įrenginių, į kuriuos Lemonas žiūrėjo, yra „Intelight X-1“, kuriame jis teigė radęs klaidą, leidžiančią bet kam visiškai valdyti šviesoforus. Anot Lemono, klaida yra labai paprasta ir pagrindinė: nėra autentifikavimo internetinėje įrenginio žiniatinklio sąsajoje.

„Aš tiesiog netikėjau“, – „TechCrunch“ sakė Lemonas. „Buvau tiesiog šokiruotas, kad kažkas tokio ryškaus galėjo būti praleista.

Lemonas sakė mėginęs išsiaiškinti, ar įmanoma suaktyvinti tokį scenarijų, koks rodomas tokiuose filmuose kaip „Itališkas darbas“, kai įsilaužėliai sankryžoje visus šviesas perjungia į žalią. Tačiau Lemonas sakė radęs kitą įrenginį, pavadintą Gedimų valdymo bloku, neleidžiantį tokiam scenarijui įvykti.

„Vis tiek galite keisti šviesas ir laiką. Taigi, jei norite nustatyti, kad laikas būtų trys minutės, į vieną pusę ir trys sekundės į kitą pusę. Iš esmės tai yra paslaugų atsisakymas fiziniame pasaulyje, todėl galite užkimšti srautą“, – sakė Lemon.

Neaišku, kiek pažeidžiamų „Intelight“ įrenginių galima pasiekti iš interneto. Lemonas sakė, kad jis ir jo komanda rado apie 30 atvirų prietaisų.

Lemonas sakė susisiekęs su „Q-Free“ – bendrove, kuriai priklauso „Intelight“, kad praneštų apie klaidą. Užuot atsakęs ir bendradarbiavęs su juo, kad ištaisytų trūkumą, Q-Free išsiuntė jam teisinį laišką, pasak Lemono, kuris paskelbė jo kopiją savo tinklaraščio įraše.

„Priimame tik pažeidžiamumo ataskaitas, susijusias su Q-Free produktais, kurie šiuo metu siūlomi parduoti. Neturime išteklių, reikalingų pasenusių elementų analizei apsvarstyti“, – rašoma laiško kopijoje, kurią, atrodo, pasirašė „Q-Free“ generalinis advokatas Stevenas D. Tibbetsas.

Laiško kopijoje rašoma, kad Lemon analizuotas įrenginys neparduodamas ir kad tai, kaip jis ir „Red Threat“ jį tyrinėjo, galėjo pažeisti kovos su įsilaužimu įstatymą, kompiuterinio sukčiavimo ir piktnaudžiavimo įstatymą. Bendrovė nenurodė, kaip Lemono tyrimai galėjo pažeisti įstatymus. Tada laiške „Lemon and Red Threat“ buvo paprašyta įsipareigoti neskelbti pažeidžiamumo detalių, nes tai gali pakenkti nacionaliniam saugumui.

„Mes taip pat raginame Red Threat apsvarstyti paskelbimo poveikį ypatingos svarbos infrastruktūros, kurioje naudojami Q-Free įrenginiai, saugumui. Priešingai jūsų nurodytiems tikslams pagerinti kibernetinį saugumą, pažeidžiamumų paskelbimas gali paskatinti atakas prieš infrastruktūrą ir sukelti susijusią atsakomybę už raudonąją grėsmę“, – rašoma laiške.

Lemonas sakė, kad šis laiškas jį nustebino ir kad „iš tikrųjų atrodė, kad jie tiesiog bando mane nutildyti teisiniais grasinimais ir viskuo“.

Q-Free neatsakė į kelis prašymus pakomentuoti.

Lemonas teigė, kad atlikdamas tyrimą jis taip pat rado kai kuriuos „Econolite“ sukurtus eismo valdymo įrenginius, veikiančius internetu, ir kuriuose veikia protokolas, kuris gali būti pažeidžiamas.

Protokolas vadinamas NTCIP ir yra pramonės standartas šviesoforų valdikliams. Lemonas teigė, kad įrenginių, kurie rodomi internete, reikšmes galima keisti sistemoje neprisijungus. Jo teigimu, šios vertės gali valdyti, kiek laiko mirksi žibintai, arba nustatyti visus žibintus sankryžoje. mirksėti tuo pačiu metu.

Lemonas sakė, kad nesusisiekė su Econolite, nes NTCIP problemos buvo žinomos anksčiau.

Sunny Chakravarty, Econolite inžinerijos viceprezidentas, patvirtino tai, kai buvo pasiektas komentaras. Chakravarty sakė „TechCrunch“, kad „Lemon“ išbandytų „Econolite“ įrenginių eksploatavimo laikas baigėsi „daug metų, ir visi vartotojai turėtų pakeisti šiuos senesnius valdiklius atitinkamais naujesniais gaminių modeliais“.

„Econolite primygtinai rekomenduoja, kad klientai vadovautųsi geriausios praktikos pavyzdžiais dėl tinklo saugumo ir prieigos kontrolės visai saugai svarbiai įrangai ir apribotų prieigą prie tokios įrangos atvirame viešajame internete”, – sakė Chakravarty. „Autorio atlikti veiksmai su valdikliu būtų buvę neįmanomi, jei įrenginys nebūtų veikiamas atviro interneto.



Source link

By admin

Related Post

Draugai: - Marketingo agentūra - Teisinės konsultacijos - Skaidrių skenavimas - Fotofilmų kūrimas - Miesto naujienos - Šeimos gydytojai - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Nuotekų valymo įrenginiai - Teniso treniruotės - Pranešimai spaudai -