Ещё немного о безопасности холодильников

Дисклеймер гласит, что вся информация представлена исключительно в образовательных целях, все запросы выполняются к имитациям систем, все данные выдуманы, все совпадения случайны.

Итак, более трёх месяцев прошло с момента, когда информация об уязвимостях, обнаруженных в ходе дружеского аудита информационных систем крупного дистрибьютора продуктов питания, была передана лично генеральному директору компании.

Подробнее об этом можно почитать в предыдущей статье данной дилогии.

Результат предсказуем. Панель управления осталась ровно там, где и была. Стоит признать, что мой отчёт не содержал подробных рекомендаций по устранению обнаруженного недостатка, потому что у меня просто нет времени вникать в то, как устроена их сеть, а также как и почему эта железка вообще оказалась торчащей в Интернет. Но даже несмотря на это, мне тяжело понять, почему осведомлённый о проблеме человек не желает найти её решение. К тому же, когда деньги не являются проблемой.

Во второй части дилогии мне бы хотелось понаблюдать, насколько халатно относятся к безопасности пользователи данной линейки устройств Danfoss. Это возможно благодаря тому, что веб-приложение для управления оборудованием крутится на относительно редком веб-сервере, при этом ответ от устройств Danfoss всегда одной и той же длины. По двум этим факторам можно составить запрос в shodan.io, чтобы отсеять все железяки от Danfoss, торчащие в Интернет.

По моему мнению, сама возможность найди данную панель извне, уже является серьёзной уязвимостью, однако хочется в первую очередь посмотреть, в скольких случаях заводской пароль был действительно изменён. Итак, запрос поисковикe составлен, смотрим результаты.

danfoss-map

Любопытная география. Карта, несмотря на крайне маленькую выборку, довольно неплохо повторяет таковую в статье из Positive Research 2015 (страница 5, правый нижний угол), которая уже была упомянута в предыдущем посте об этой находке. Не хватает, разве что, Китая. Всего Shodan вернул 123 результата, но с бесплатным аккаунтом можно просмотреть только 5 страниц выдачи. Попробуем собрать небольшую статистику на основе 50 устройств.

Из 50 устройств онлайн оказались 38. Их них только на 5 был установлен пароль, отличный от заводского. При этом из 5 устройств 3 принадлежат к одной сети супермаркетов и явно настроены в соответствии с некоторой политикой (или одним человеком). Из тех устройств, к которым удалось получить доступ под супервизором, 5 не были подключены ни к каким датчикам, то есть, фактически, не управляли ничем.

В итоге, 28 из 50 девайсов подключены и доступны из Интернета, управляют реальной инфраструктурой и имеют стандартные пароли. То, что большинство устройств из Франции, обусловлено тем, что известная сеть Auchan использует их. При этом обнаруживались магазины Auchan не только из Франции, но и из других стран.

Расширенные возможности.

Отдельное внимание хотелось бы уделить нескольким устройствам с явно обновлённой прошивкой. Новая версия веб-приложения демонстрирует куда более широкий спектр возможностей управления.

Устройства сразу можно опознать по стильному окну загрузки.

danfoss-loading

Наконец-то железка не позволяет кому угодно смотреть состояние датчиков и требует ввести учётные данные на самом старте. Но пароль-то всё равно 12345.

danfoss-login

Устройства с новой прошивкой замечены за управлением датчиками холодильного оборудования, светом, а также отоплением, вентиляцией и кондиционированием. Появился лог входа под супервизором, но там совсем не фиксируется адрес, с которого вход был произведён. Моим любимым нововведением является диагностическое окошко, которое раскрывает информацию о локальной сети, в которой расположено устройство.

danfoss-info

В общем, дальше становится только хуже. С новой прошивкой потенциальный злоумышленник способен нанести ещё больше урона инфраструктуре, а пароль всё ещё примитивен. Возможно стоит отправить способ воспроизведения этого микроскопического исследования в Danfoss. Конечно, они не начнут сразу же производить устройства с уникальными заводскими кодами. Зато хоть поржут над тем, какие называния люди дают холодильным камерам.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *