Nul
IBM har opdaget 17 zero-day-sårbarheder i smart city systemer, der vil kunne svække kerneydelser.
På Black Hat-konference i Las Vegas på mandag, den cybersecurity virksomhedens X-Force Red team af penetration testere og hackere vist, hvor old-school trusler er at placere fremtidens byer i fare i dag.
Smart city teknologi udgifterne forventes at ramme $80 milliarder i år og bliver så højt som $135 millioner i 2021. Vand og filtrering systemer, intelligent belysning, flyveledere, utilities, og meget mere alt bliver blandet sammen i intelligente byer, som har til formål at gøre urban living mere energieffektive, miljøvenlige, og håndterbar.
Men, der forbinder alle disse kritiske elementer, der kan have katastrofale følger, hvis noget skulle gå galt-sådan som en vellykket cyberangreb.
Vi har allerede set de skader, der kan opstå, når trussel aktører mål core land systemer, såsom i tilfældet med Ukraine elnettet, og medmindre sikkerhed anses for hvert skridt, hver future city vil være placeret på samme niveau af risiko.
Sammen med forskere fra Threatcare, IBM X-Force Red opdagede, at smart city-systemer, der er udviklet af Libelium, Echelon og Battelle var sårbare over for angreb.
Libelium er et trådløst sensor-netværk, hardware producent, mens Echelon har specialiseret sig i industriel IoT, og non-profit Battelle udvikler og kommercialiserer relaterede teknologier.
Ifølge IBM X-Force Red forsker Daniel Laursen, ud af de 17 hidtil ukendte sårbarheder er opdaget i systemer, der anvendes i fire intelligente byer, otte anses for kritiske i sværhedsgrad.
Desværre, mange af de fejl, var på grund af dårlig, slap sikkerhed praksis-såsom brugen af standard adgangskoder, godkendelse bypass, og SQL-injektioner.
Se også: Retten ordrer samfundstjeneste for CoinVault ransomware operatører
I alt har forskerne afdækket fire forekomster af kritiske pre-godkendelse shell-injektion fejl i Libelium ‘ s trådløse sensor netværk, Meshlium.
TechRepublic: Smart cities: Et cheat sheet
Hertil kommer, at Echelon ‘ s jeg.LON 100/jeg.LON SmartServer og jeg.LON 600 SmartServers, som anvendes til energibesparelser, der er indeholdt to kritiske godkendelse mangler, ikke-krypteret kommunikation spørgsmål, standardlegitimationsoplysninger var i brug, og alm passwords blev afdækket.
Når det kommer til Battelle, de non-profit ‘ s V2I (Køretøj og Infrastruktur) Hub, version 2.5.1, blev også fundet for let, når det kommer til tilstrækkelig sikkerhed.
Den værste sårbarhed opdagede var en hard-kodet administrator-konto, efterfulgt af adgang til følsomme funktionalitet uden godkendelse, standard API-keys og autentificering, SQL-injektion sikkerhed fejl, og det afspejles XSS-problemer.
CNET: EN guide til Smart City
Efter oprunding de fejl, som var umiddelbart synlige i de forskellige smart city-systemer, holdet fandt, at snesevis — og i nogle tilfælde, hundredvis — af sælger udstyr til venstre udsat for remote adgang til online.
“Når vi ligger en udsat enhed, ved hjælp af nogle standard Internet-søgninger var vi i stand til at afgøre, i nogle tilfælde, der har købt udstyr og, vigtigst af alt, hvad de bruger de enheder,” forskerne tilføjet.
Resultaterne blev videregivet til Libelium, Echelon, og Battelle. IBM siger, at alle tre var “lydhør” og sikkerhedsrettelser der er blevet udstedt for at løse sårbarheder.
Tidligere og relaterede dækning
Yale University oplyser old school data, brud Clarksons siger, enkelt bruger konto skylden for bruddet HP vil give dig $10,000 til at hacke din printer
Relaterede Emner:
IBM
Sikkerhed-TV
Data Management
CXO
Datacentre
0