IBM: Системы умных городов умеют массу критических уязвимостей

Корпорация IBM обнаружила 17 уязвимостей нулевого дня (0-day) в системах умных городов. Свои выводы команда исследователей X-Force Red продемонстрировала на конференции Black Hat, проходящей в Лас-Вегасе.

Предполагается, что расходы на системы умных городов достигнут $80 миллиардов в этом году, а к 2021 году вырастут до $135 миллиардов.

Команда IBM X-Force Red совместно с исследователями из Threatcare обнаружили, что системы умных городов, разработанные Libelium, Echelon и Battelle уязвимы для кибератак.

Компания Libelium занимается производством оборудования для беспроводных сенсорных сетей, Echelon специализируется на промышленном IoT, а Battelle разрабатывает и коммерциализирует смежные технологии.

По словам Даниэля Кроули, исследователя IBM X-Force Red, восемь из 17 обнаруженных уязвимостей имеют статус критических проблем безопасности. Большинство этих брешей обусловлены слабыми практиками безопасности — например, использованием паролей по умолчанию, возможностью обхода аутентификации и SQL-инъекции.

В общей сложности исследователи обнаружили четыре случая критических ошибок, приводящих к инъекции шелла, в беспроводных сенсорных сетях от Libelium.

i.LON 100/i.LON SmartServer и i.LON 600 SmartServers от Echelon содержат два критических недостатка аутентификации, проблемы с незашифрованной связью, используемые учетные данные по умолчанию и пароли в виде открытого текста.

Самой страшной уязвимостью стала жестко закодированная учетная запись администратора, которая позволяет получить доступ к чувствительной информации без необходимости прохождения процесса аутентификации.

Все три компании оперативно отреагировали на сообщения от IBM, что позволило в кратчайшие сроки выпустить обновления безопасности, устраняющие все перечисленные баги.