Xakep #305. Многошаговые SQL-инъекции
Специалисты компании Bastille Networks выявили уязвимость в системах экстренного оповещения компании ATI Systems. Такие сирены тревоги, связанные воедино общей сетью, устанавливаются на военных объектах, индустриальных предприятиях, в городах, кампусах учебных заведений и так далее. Системы экстренного оповещения могут использоваться, к примеру, для предупреждения жителей о террористической атаке, приближающемся торнадо или другой погодной аномалии, а ложная тревога может спровоцировать настоящий хаос и даже панику.
Проблема, обнаруженная в решениях компании ATI Systems, получила название SirenJack, и, как это принято в наши дни, уже имеет собственный сайт и даже логотип.
Эксперт Bastille Networks Балинт Сибер (Balint Seeber) рассказывает, что обнаружил уязвимость еще в 2016 году, когда изучал систему ATI Systems, установленную в американском городе Сан-Франциско. Очень быстро специалист обнаружил, что для передачи команд сиренам экстренного оповещения используется обычная радиочастота, а сами сигналы не имеют никакого шифрования. Сибер отмечает, анализ радиопротокола показал, что некоторые его элементы меняются примерно раз в неделю, однако, собрав достаточно данных, их можно без особого труда предсказать.
Два года тому назад исследователь проделал именно это, потратив на изучение работы системы ATI Systems в Сан-Франциско довольно долгое время. В итоге, когда Сибер научился предсказывать изменения в передаваемых пакетах и разобрался в том, как это осуществляется, он получил практически полный контроль над сиренами тревоги. При этом для передачи ложного сигнала потребовалось лишь портативное радио за пару десятков долларов, software-defined radio и компьютер. В ролике ниже исследователь наглядно показывает, как работает SirenJack.
Изначально специалист не стал уведомлять о проблеме разработчиков ATI Systems, однако после прошлогодних инцидентов в Далласе и на Гавайях эксперт передумал и все же решил сообщить компании о потенциальной опасной ошибке (в ATI Systems Сибер обратился лишь в начале января 2018 года). Напомню, что в прошлом году неизвестные лица взломали систему экстренного оповещения в Далласе, задействовав ночью 156 аварийных сирен, обычно предупреждающих о приближении торнадо, расположенных по всему городу. Жителям Гавайев повезло еще меньше, им были разосланы ошибочные сообщения о готовящемся ударе баллистических ракет.
Представители ATI Systems уже выпустили патч для уязвимой имплементации системы в Сан-Франциско (теперь пакеты не так легко подделать), однако это не означает, что теперь все клиенты компании могут им воспользоваться. Дело в том, что решения ATI Systems в каждом отдельном случае кастомизируюся под нужды клиента, поэтому теперь владельцам и администраторам уязвимых систем экстренного оповещения предстоит получать патчи от производителя в индивидуальном порядке. Проблема состоит в том, что хотя Сибер выждал положенные 90 дней и заранее предупредил компанию о публикации деталей проблемы, «заплатки» для других клиентов пока не готовы, хотя разработчики и обещают выпустить их «в ближайшее время».
Еще один видеоролик демонстрирует PoC-атаку в «полевых условиях»: Сибер включает в динамики сирен тревоги знаменитый трек Never Gonna Give You Up.
Интересно, что по информации издания ZDNet, разработчики ATI Systems, изначально отреагировавшие на публикацию данных о SirenJack спокойно, постфактум поспешили выпустить еще одно заявление. В новом документе утверждается, что исследование Bastille Networks нарушает закон. Компания заявила, что перехват подобных протоколов связи может нарушать нормы, принятые Федеральной комиссией по связи США. Более того, теперь разработчики заявляют, что проблема, найденная Сибером, носит в основном теоретический характер, а «в поле» такие атаки не использовались. Невзирая на это, подавать в суд на ИБ-аналитиков ATI Systems не планирует.
В ответ специалисты Bastille Networks сообщили журналистам, что не нарушали закон и полностью уверены в своей правоте. Определенные законы, запрещающие перехват радиосигналов, действительно существуют, однако они не распространяются на сигналы, не имеющие шифрования и свободно доступные фактически любому желающему.