Търсене
Close this search box.

Изследовател твърди, че американско здравно заведение не е успяло да се справи със сериозна уязвимост, която е давала възможност на  заплахи да хакнат вратите на една от неговите сгради поне през последната година. От друга страна, здравната организация отрича констатациите.

Изследването е извършено от Шон Мердингер, който през 2010 г. на конференцията DEFCON показа как могат да бъдат хакнати контролерите за достъп до вратите на S2 Security, използвани от болници, училища, пожарни станции, предприятия и други структури. Десетилетие по-късно Мердингер е вкаран в затвора, след като по време на психическа криза изпраща заплашителни имейли на хора от няколко университета.

След като е освободен и остава трезвен, той стартира изследователски проект в областта на киберсигурността – той го описва като „проект за лично изкупление“ – чиято цел е да покаже, че уязвимостите на физическия контрол на достъпа все още влияят на много организации.

В рамките на проекта, наречен Box of Rain (Кутия от дъжд), изследователят е документирал близо 40 случая на сгради, в които през миналата година е имало хакнати контролери за врати. Сега той отново преглежда всички находки, за да определи кои от сградите все още са уязвими, като се има предвид, че е минала повече от година. Изследователят твърди, че констатациите са били отговорно оповестени на засегнатите организации и правителствените агенции на САЩ.

Въпреки че някои организации са отстранили пропуските в сигурността, след като са били уведомени, други не са го направили. Според изследването един от случаите, който се откроява, засяга сграда, която очевидно принадлежи на базираната в Лос Анджелис здравна организация Cedars-Sinai.

Проблемът, според изследователя, е, че системата за достъп до вратите S2, свързана със засегнатото съоръжение, е изложена на интернет, лесно може да бъде открита, а уеб интерфейсът ѝ може да бъде достъпен с помощта на идентификационните данни по подразбиране „администратор/администратор“.

Изследователят казва, че хакерът може да се възползва от тази слабост, за да отвори вратите или да планира отварянето им в определено време, да добави или промени привилегиите на персонала (може да бъде добавен противник), да научи кога пристигат или напускат определени хора, да наруши работата на системата и да предотврати отварянето на вратите, както и да използва компрометирания контролер за достъп за по-нататъшни атаки в мрежата.

Известно е, че продуктите на S2 Security, която преди няколко години се обедини с Lenel и стана LenelS2, са засегнати от уязвимости, но в този случай контролерите за достъп са изложени на риск поради излагането им в мрежата и използването на данни за достъп по подразбиране, а не поради действителна уязвимост на продукта.

Изследователят заяви, че уеб интерфейсът, свързан със сградата Cedars-Sinai, все още е бил достъпен с идентификационни данни по подразбиране сутринта на 24 септември.

Докладът на Мердингер включва екранна снимка на дневника на дейностите, свързан с уязвимия контролер на вратата, показващ времето, когато различни лекари от Cedars са имали достъп до сградата.

Известно е, че системите за достъп до сградите са засегнати от много уязвимости и в някои случаи на доставчиците са били необходими няколко години, за да ги коригират, дори когато е имало доказателства за злонамерена експлоатация.

Източник: По материали от Интернет

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
Бъдете социални
Още по темата
02/10/2024

Eксплоатирани са уязвимости...

В понеделник американската агенция за киберсигурност...
30/09/2024

Критичен недостатък в NVIDI...

Критична уязвимост в NVIDIA Container Toolkit...
29/09/2024

Милиони автомобили на Kia с...

Купувачите на автомобили обикновено имат много...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!