在一个广泛使用的建筑控制系统中发现的新缺陷使其容易受到来自互联网的攻击。
安全公司CyLance的研究人员比利·里奥斯和特里·麦科克尔去年发现了霍尼韦尔国际公司Tridium部门制造的尼亚加拉控制系统的漏洞,促使美国国土安全部警告客户更改设置。
这一警告导致霍尼韦尔发布了软件更新,成功解决了这些问题,但周二在波多黎各圣胡安举行的安全会议上,霍尼韦尔透露,他们已经发现了新的漏洞。
该系统被配置为默认连接到互联网,尽管对他们来说并不是必需的,这对搭档展示了他们可以使用他们编写的一款新软件来控制尼亚加拉的系统,以展示漏洞。
尽管出于担心恶意黑客可能会试图复制他们的方法,他们拒绝解释他们的技术,但他们表示,攻击者可以利用Tridium控制设备内部存储的弱加密和密码,达到同样的目的。
黑客一旦进入系统,就可以对使用该系统的建筑物的物理环境造成严重破坏,在许多情况下还可以侵入建筑物的主要办公电脑。
“这有点令人担忧,”麦科克尔表示。“不要把它放在网上。”
自2010年Stuxnet病毒出现以来,工业控制系统(包括运行制造设施和发电厂的系统)安全性差已成为安全研究人员和黑客的主要关注焦点。
Stuxnet病毒利用西门子技术中此前不为人知的安全漏洞,攻击了伊朗核项目,目标是一个铀浓缩设施中的离心机,这些离心机使用的是德国企业集团西门子公司(Siemens AG)广泛使用的控制系统。
在他们的报告中,两位研究人员展示了医院和其他机构使用的大约21000个尼亚加拉系统,目前可以通过公共互联网访问,使用的是一个名为Shodan的专业搜索引擎。
他们说,许多尼亚加拉的客户没有意识到他们的系统是连接到互联网的,因为它们最初是由外部承包商安装的,而建筑运营商通常直接从他们控制的设施内部控制尼亚加拉的系统,互联网接入作为备份保存下来。
人们担心修复这些漏洞会很困难,因为设备通常会在原地呆上几十年,而一些制造商没有简单的方法为客户提供安全改进。
里奥斯表示,他们将最新的发现通知了Tridium,该部门希望在一周内为当前版本的Niagara的用户提供修复,较旧版本的修复稍后推出。
Tridium的发言人表示,她无法立即对调查结果发表评论,但霍尼韦尔发言人Mark Hamel表示,该公司正努力尽快解决新问题,并将提醒客户相关风险。
他说:“里奥斯和麦科克尔不断提醒用户社区注意这类漏洞,我们对此表示赞赏,我们和他们一样有兴趣修复这些漏洞。”
报名参加E&T新闻电子邮件让像这样的精彩故事每天都发送到你的收件箱。
