Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

28 июля 2015 г.

[уязвимость] Уязвимости в контроллерах производства Honeywell

Все ближе тот день, когда дома станут по-настоящему умными, все чаще в них можно встретить автоматизированные устройства, доступные через Сеть. Однако исследователи, решившие изучить, как в этой сфере обстоят дела с безопасностью, обнаружили, что подобные дома, может, и умны, но при этом крайне уязвимы к сетевым атакам.

На этот раз уязвимости были обнаружены в контроллере Tuxedo Touch — устройстве производства Honeywell, призванном взять на себя управление такими домашними системами, как безопасность, климат-контроль, освещение и другие. Само собой разумеется, подобное устройство доступно через Сеть. Исследователь из Германии Максим Рупп (Maxim Rupp) обнаружил в нем пару уязвимостей, позволяющих атакующему выполнять произвольные действия, например отпирать двери или изменять настройки климат-контроля.

В контроллере присутствуют две разные уязвимости: обход аутентификации и подделка межсайтовых запросов. Первая уязвимость позволяет атакующему обойти механизм аутентификации в системе.

«Веб-интерфейс контроллера Honeywell Tuxedo Touch использует JavaScript для аутентификации клиента, перенаправляя неавторизованных пользователей на логин-страницу. Перехватив и модифицировав запросы, содержащие строку USERACCT=USERNAME:_,PASSWORD:_, неаутентифицированный пользователь может обойти процесс аутентификации и получить доступ к закрытым страницам», — говорится в бюллетене CERT.

На практике это означает, что, когда система запрашивает у пользователя юзернейм и пароль, он может просто проигнорировать запрос и получить доступ к закрытым ресурсам. Рупп, за последнее время обнаруживший и огласивший ряд уязвимостей в различных устройствах, включая ветряные турбины, заявил, что эксплуатировать эту уязвимость крайне просто.

«Я считаю, что ее эксплойт крайне прост, даже атакующий без особых навыков сможет сделать это удаленно», — отметил эксперт, добавляя, что даже поверхностный поисковый запрос через Shodan выявил несколько сотен уязвимых контроллеров. На самом деле, как считает исследователь, их гораздо больше.

«Shodan обнаружил около 500 устройств, из которых 450 находятся на территории США. Я думаю, что более тщательный поисковый запрос смог бы выявить более тысячи устройств», — подчеркнул он.

Вторая уязвимость — баг подделки межсайтовых запросов, эксплойт которого требует наличия активной сессии, инициированной аутентифицированным пользователем.

«Контроллер Honeywell Tuxedo Touch содержит глобальную уязвимость подделки межсайтовых запросов. Атакующий может исполнять действия с теми же привилегиями, что и жертва, использующая активную сессию и вызвавшая срабатывание вредоносного запроса. Злоумышленник сможет отдавать уязвимому контроллеру команды, например, на запирание или отпирание дверей», — гласит бюллетень CERT.

Honeywell выпустила обновление для программного обеспечения уязвимых устройств, закрывшее обнаруженные Руппом бреши.

Источник