Специалист компании IOActive Рубен Сантамарта (Ruben Santamarta) обнаружил ряд уязвимостей в продукции компаний Digi, Ludlum и Mirion, производящих оборудование для радиационного контроля, однако производители отказались устранять найденные проблемы.

Сантамарта обнаружил проблемы в работе устройств, которые следят за уровнем излучения и, как правило, устанавливаются на АЭС, в портах, на границах и так далее. Фактически такие системы позволяют заблаговременно заметить растущий уровень радиации, помогают следить за тем, чтобы сотрудники АЭС и других предприятий не пытались внести с объекта радиоактивные материалы, помогают заметить нарушителей на границе и так далее.

Исследователь проверил множество моделей устройств, начиная от огромных сканеров, предназначенных для проверки автомобилей и людей, и заканчивая небольшими датчиками, которые повсеместно устанавливаются на атомных электростанциях и других подобных объектах. В итоге Сантамарта обнаружил целый набор уязвимостей, от обычного для IoT-устройств бэкдор-аккаунта, до недостаточного шифрования, использования небезопасных протоколов и жестко закодированных ключей шифрования.

Исследователь пишет, что злоумышленники могут использовать обнаруженные проблемы для перехвата управления над устройствами, реализации атак man-in-the-middle, перехвата и подмены трафика. По сути, атакующий сможет отключить готовящуюся тревогу или вообще подменить показания приборов. Единственным условием является необходимость находиться в относительной близости от взламываемых устройств.

Представители компаний Digi, Ludlum и Mirion, производящих уязвимое оборудование, сообщили специалисту, что найденные им проблемы не могут рассматриваться как проблемы с безопасностью, а вероятность их эксплуатации крайне мала, так как устройства устанавливаются на охраняемых объектах. Только представители Mirion пообещали хотя бы уведомить пользователей о проблемах, чтобы те могли самостоятельно предусмотреть дополнительные меры защиты.

К счастью, после того как специалист сообщил, что намеревается открыто рассказать о своих находках на конференции Black Hat, разработчики Digi и Mirion передумали и сообщили, что уже работают над устранением багов. Тем не менее, пока патчей пока нет, и неизвестно, как скоро они появятся.

Ознакомиться с докладом исследователя и слайдами его предентации, в свою очередь, можно здесь и здесь (PDF).



1 комментарий

  1. john_

    01.08.2017 at 15:05

    Почему людей пугает только обнородование информации?! А просто с точки зрения Того, что ты допустил ошибку и Ее надо исправить, никто не хочет действовать.

Оставить мнение