Изследовател твърди, че американско здравно заведение не е успяло да се справи със сериозна уязвимост, която е давала възможност на заплахи да хакнат вратите на една от неговите сгради поне през последната година. От друга страна, здравната организация отрича констатациите.
Изследването е извършено от Шон Мердингер, който през 2010 г. на конференцията DEFCON показа как могат да бъдат хакнати контролерите за достъп до вратите на S2 Security, използвани от болници, училища, пожарни станции, предприятия и други структури. Десетилетие по-късно Мердингер е вкаран в затвора, след като по време на психическа криза изпраща заплашителни имейли на хора от няколко университета.
След като е освободен и остава трезвен, той стартира изследователски проект в областта на киберсигурността – той го описва като „проект за лично изкупление“ – чиято цел е да покаже, че уязвимостите на физическия контрол на достъпа все още влияят на много организации.
В рамките на проекта, наречен Box of Rain (Кутия от дъжд), изследователят е документирал близо 40 случая на сгради, в които през миналата година е имало хакнати контролери за врати. Сега той отново преглежда всички находки, за да определи кои от сградите все още са уязвими, като се има предвид, че е минала повече от година. Изследователят твърди, че констатациите са били отговорно оповестени на засегнатите организации и правителствените агенции на САЩ.
Въпреки че някои организации са отстранили пропуските в сигурността, след като са били уведомени, други не са го направили. Според изследването един от случаите, който се откроява, засяга сграда, която очевидно принадлежи на базираната в Лос Анджелис здравна организация Cedars-Sinai.
Проблемът, според изследователя, е, че системата за достъп до вратите S2, свързана със засегнатото съоръжение, е изложена на интернет, лесно може да бъде открита, а уеб интерфейсът ѝ може да бъде достъпен с помощта на идентификационните данни по подразбиране „администратор/администратор“.
Изследователят казва, че хакерът може да се възползва от тази слабост, за да отвори вратите или да планира отварянето им в определено време, да добави или промени привилегиите на персонала (може да бъде добавен противник), да научи кога пристигат или напускат определени хора, да наруши работата на системата и да предотврати отварянето на вратите, както и да използва компрометирания контролер за достъп за по-нататъшни атаки в мрежата.
Известно е, че продуктите на S2 Security, която преди няколко години се обедини с Lenel и стана LenelS2, са засегнати от уязвимости, но в този случай контролерите за достъп са изложени на риск поради излагането им в мрежата и използването на данни за достъп по подразбиране, а не поради действителна уязвимост на продукта.
Изследователят заяви, че уеб интерфейсът, свързан със сградата Cedars-Sinai, все още е бил достъпен с идентификационни данни по подразбиране сутринта на 24 септември.
Докладът на Мердингер включва екранна снимка на дневника на дейностите, свързан с уязвимия контролер на вратата, показващ времето, когато различни лекари от Cedars са имали достъп до сградата.
Известно е, че системите за достъп до сградите са засегнати от много уязвимости и в някои случаи на доставчиците са били необходими няколко години, за да ги коригират, дори когато е имало доказателства за злонамерена експлоатация.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.