安基网 欢乐生肖 资讯 安全报 查看内容

超百个漏洞将3万门禁暴露给黑客

2019-5-16 01:00| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 研究人员在四家楼宇管理与访问控制系统供应商的产品中发现了100多个漏洞。攻击者可以利用这些漏洞完全控制被入侵的产品,并操纵与其关联的系统。大约一年前,工业网络安全公司Applied Risk的研究员Gjoko Krstic开始分析来自Nortek,Prima Systems,Optergy和Computrols的楼宇管理(BMS),楼宇自动化( ...
研究人员在四家楼宇管理与访问控制系统供应商的产品中发现了100多个漏洞。攻击者可以利用这些漏洞完全控制被入侵的产品,并操纵与其关联的系统。

大约一年前,工业网络安全公司Applied Risk的研究员Gjoko Krstic开始分析来自Nortek,Prima Systems,Optergy和Computrols的楼宇管理(BMS),楼宇自动化(BAS)和门禁控制产品。产品包括Computrols CBAS-Web,Optergy Proton / Enterprise,Prima FlexAir和两款Nortek Linear eMerge产品。

图源:SecurityWeek

Krstic在这些系统中总共识别出100多个安全漏洞,有近50个漏洞已被CVE标识;其中有些漏洞是同一缺陷的变种。

漏洞包括:默认与硬编码凭证、命令注入、跨站脚本攻击(XSS)、路径遍历、不受限制的文件上传、权限提升、授权绕过、密码明文存储、跨站请求伪造(CSRF)、任意代码执行、身份验证绕过、信息泄露、开放重定向、用户枚举和后门等。

这些漏洞(其中许多被归类为高危)可能导致未经身份验证的攻击者完全控制被攻击系统——无论是单独利用漏洞还是与其他漏洞并用。

Krstic上个月在SecurityWeek的新加坡ICS网络安全会议上总结了该项发现,Applied Risk现已发布对每个受影响产品的建议。该公司预计将于6月发布一份完整的研究论文,其中包括技术细节。

Krstic在演讲中表示,依据被分析产品的产品文档和在线数据估算,这些漏洞可能影响到100万人和200个设施的3万个门禁。

他说,攻击者可以在劫持易受攻击的系统后进行各种活动,包括触发警报,锁定或解锁门禁,控制电梯,拦截视频监控流,操纵暖通空调系统和灯光,中断系统运行以及窃取个人信息。

傻蛋搜索显示有约3119个楼宇自动控制系统直接暴露于互联网,其中许多系统由Nortek制造。

截图自傻蛋联网设备搜索系统

Krstic在接受采访时表示,这些暴露的楼宇系统所在的建筑物包括一个著名的纪念碑和一个重要的金融机构,两者坐标都在美国。

收到Applied Risk的漏洞通知后,除Nortek外所有受影响的供应商都为其产品发布了补丁。而Nortek似乎处理漏洞的流程不良,尽管该公司向SecurityWeek表示,Applied Risk反映的漏洞问题已修复,但Applied Risk称至今未收到该公司的反馈。

本文来源SecurityWeek,由安数网络编译。

及时掌握网络安全态势 尽在傻蛋联网设备搜索系统



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6691070027916902925/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
欢乐生肖官方网站 五分时时彩 极速快3 快赢彩票 汇丰彩票官网 韩国1.5分彩 上海时时乐 吉林快3 快乐赛车 欢乐生肖