Applied Risk виявила понад 100 уразливостей у різних системах управління будівлями (building management system)
Applied Risk виявила понад 100 уразливостей у різних системах управління будівлями (building management system)
Applied Risk виявила понад 100 уразливостей у різних системах управління будівлями (building management system, BMS) різних популярних брендів. Їхня експлуатація дозволяє зловмиснику здійснювати DoS-атаки, віддалено виконувати код та повністю скомпрометувати критичні системи будівель.
Дослідники проаналізували системи управління будівлями різних постачальників, у тому числі Bosch, Nortek, Siemens, Schneider, Omron, Optergy, Trane, Tridium та ін. , більшу частину з них склали BMS виробництва BACnet (7623 систем), Bosch (3239), Reliable Controls (3148) та Nortek (2582).
Кожна з цих систем доступна в Мережі і може бути проексплуатовано зловмисником. BMS використовувалися в різних структурах, включаючи урядові будівлі, банки, лікарні або спальні райони, наражаючи на ризик атак понад 10 млн людей. Злочинець може викликати відмову відмову в обслуговуванні систем, підключених до інтернету, та перехопити контроль над приміщеннями у керуючих будівлею.
Всі досліджені BMS-системи містять ті самі вразливості, серед яких наявність бекдор-акаунтів або консолей розробки, установки/конфігурації out-of-the box, встановлені за замовчуванням або вбудовані облікові дані, відсутність оцінки безпеки прошивки, відсутність статичного аналізу вихідного коду, неперевірені вхідні параметри та недостатній захист даних у мережі та сховищах.
