Устройства автоматизации зданий BACnet IoT, уязвимые для атак
Независимое исследование вопросов безопасности выделило очередную уязвимость в системах управления зданиями, которая может быть использована злоумышленниками, и которая так и не была исправлена производителями «умных» систем.
Некоторое время назад исследователи из McAfee продемонстрировали, как уязвимость в широко используемой промышленной системе управления от Delta Controls может позволить злоумышленникам получить полный контроль над операционной системой, дополнительно подчеркнув проблемы безопасности устройств, подключенных к Интернет (т.н. Интернет вещей или IoT), и необходимость сосредоточиться на средах безопасности в операционной технологии так же, как и на ИТ-средах бизнес-организаций.
В центре внимания последних исследований - протокол передачи данных BACnet для сетей автоматизации и управления зданиями, который широко используется в подключенных к Интернету устройствах в рамках промышленных и коммерческих объектов.
Протокол BACnet разработан, чтобы позволить техническим специалистам и инженерам настраивать, осуществлять мониторинг и контролировать широкий спектр критически важных систем с помощью встроенных веб-приложений. Однако, по словам исследователя кибербезопасности Бертина Бервиса, злоумышленники вполне могут использовать существующую уязвимость в этом протоколе. Уязвимость может быть использована для изменения кода веб-приложения путем внедрения кода JavaScript в устройство BACnet, посредством злоупотребления свойствами чтения/записи из самого протокола Bacnet. Об этом он рассказал в рамках конференции по безопасности DEF CON.
По словам Бервиса, код хранится в базе данных Bacnet, помогая злоумышленнику добиться устойчивости в рамках браузеров устройств, которые используются в средах зданий или на промышленных объектах и которые подключаются через BACnet.
По его словам, веб-приложения позволяют внедрять вредоносный код в «определенных элементах», взятых непосредственно из взаимодействия с пользователем на уровне протокола и изменений в базе данных на уровне протокола, что означает, что любое изменение данных, выполняемое непосредственно в рамках взаимодействия с протоколом, может изменять части кода во всем веб-приложении на постоянной основе.
Таким образом злоумышленники удалденно могут перемещаться из одной точки в другую, используя эту технику для кражи конфиденциальной информации от техников или инженеров, которые напрямую взаимодействуют с зараженными устройствами.
Это открывает новую дверь для удаленных атак, не затрагивая и не взаимодействуя при этом с веб-приложением на самих устройствах. Для изменения данных злоумышленнику нужен только небезопасный протокол автоматизации здания.
Бервис, независимый исследователь в области кибербезопасности из Коста-Рики, чье исследование сосредоточено на анализе веб-серверов и использовании их уязвимостей, также рассказал, что сообщил о выявленных уязвимостях производителям устройств, но ответа от них так и не получил.
Напротив, исследователи из McAfee сказали, что, когда они связались с Delta Controls, компания отреагировала выпуском бета-версии исправления, которое, как смогли подтвердить исследователи, эффективно блокировало разработанную ими атаку.
Именно так, путем взаимного сотрудничества специалистов по безопасности и производителей систем автоматизации, умных устройств, оборудования и программного обеспечения необходимо разрабатывать решения по противодействию кибер-атакам и снижению возможных негативных последствий.