وجود آسیب پذیری در سامانه های مدیریت ساختمان

به گزارش کارگروه امنیت سایبربان؛ یکی از کارشناسان امنیت سایبری شرکت هلندی «Applied Risk» به تازگی بیش از یک صد آسیب‌پذیری را در سامانه‌های مدیریت و کنترل دسترسی 4 فروشنده‌ی بزرگ کشف کرده است.

هکرها می‌توانند با سو استفاده از حفره‌های امنیتی یاد شده کنترل کامل محصولات آسیب‌پذیر را بر عهده گرفته، به ابزارهای متصل به آن‌ها دسترسی کاملی داشته باشند.

پژوهشگر یاد شده به مدت یک سال است که روی سامانه‌های مدیریت ساختمان (BMS)، خودمختار سازی ساختمان (BAS) و کنترل دسترسی شرکت‌های «Nortek»، «Prima Systems»، «Optergy»، «Computrols» تحقیق می‌کند. این فرد با بررسی محصولات مختلف، بیش از یک‌صد حفره امنیتی را شناسایی کرد که شامل اعتبارنامه‌های پیش‌فرض و هاردکد شده، تزریق فرمان، کراس سایت اسکریپت (XSS)، مسیر انتقال داده، بارگذاری بدون محدودیت فایل‌ها، باگ ترفیع نرم‌افزاری سطح دسترسی (privilege escalation)، دور زدن مجوزها، فایل متنی رمزهای عبور، جعل درخواست میان‌وب‌گاهی (CSRF)، اجرای کد دلخواه، دور زدن بخش شناسایی هویت، افشای اطلاعات و درب پشتی است.

تعدادی از آسیب‌پذیری‌های مذکور حیاتی هستند و به مهاجم اجازه می‌دهند کنترل کاملی روی سامانه‌ها پیدا کند. بر اساس گزارش ارائه شده حفره‌های امنیتی مذکور می‌تواند روی 10 میلیون نفر و 30 هزار در از 200 مرکز مختلف تأثیر بگذارد.

زمانی که یک هکر از نقص‌های یاد شده سو استفاده کند، می‌تواند به اطلاعات شخصی کارمندان یا ساکنان یک ساختمان دسترسی یابد. همچنین قادر است به دست‌کاری قفل درب‌ها و باز و بسته کردن آن‌ها، آسانسور، سامانه‌های هشدار، دوربین‌های امنیتی، سیستم تهیه مطبوع و روشنایی بپردازد.

کارشناس یاد شده توضیح داد به سادگی می‌توان از طریق موتور جستجوی شودان (Shodan)، سیستم‌های آسیب‌پذیر را در سراسر جهان شناسایی کرد.

البته هر 4 شرکت نام برده اعلام کردند پس از انتشار گزارش مذکور، با ارائه‌ی چندین وصله‌ی مختلف، همه‌ی آسیب‌پذیری‌ها را برطرف کرده‌اند.