Российская команда исследователей SCADA Strange Love опубликовала своего рода список позора. В него вошли SCADA и ICS решения самых разных производителей, которые поставляются с очень слабыми логинами и паролями по умолчанию.
Группа SCADA Strange Love опубликовала на GitHub проект под названием SCADAPASS. Данный список содержит более ста продуктов компаний ABB, B&B Electronics, BinTec Elmeg, Digi, Echelon, Emerson, Hirschmann, IBM, Moxa, Rockwell, Samsung, Schneider Electric, Siemens, Wago, Westermo и Yokogawa. В перечень вошло самое разное оборудование – промышленные роутеры, программируемые логические контроллеры, серверы, сетевые модули и так далее. Все эти решения используются системами для автоматизированного управления технологическим процессом (АСУ ТП) и объединены общим знаменателем: они поставляются с недопустимо простыми логинами и паролями, к примеру, root:root.
Исследователи не только опубликовали точный перечень продуктов и имена компаний-производителей. Они обнародовали также сами дефолтные логины и пароли. В теории, учетные данные по умолчанию не используются в работе: новый владелец устройства, при первой же настройке системы, должен сменить их на стойкие логин и пароль. Но на практике эту важнейшую часть процесса настройки часто попросту игнорируют, логин и пароль так и остаются дефолтными навсегда.
Список не содержит данных о жестко закодированных логинах и паролях, но исследователи все равно считают, что дефолтные сочетания вроде root:root недопустимы, когда речь идет о работе промышленных систем.
Фото: scopetel.com.my
