智能城市暴露在古老学校的威胁中

由这件刺激 虚惊 这使夏威夷居民今年早些时候对自己的生活担心,IBM X-Force Red和ThreatsCare研究人员决定测试几个智能城市设备,最终发现了17个零天漏洞,其中一些可能被剥削以创造潜在的致命混乱。

智能城市解决方案测试

“虽然我们准备挖掘深度寻找漏洞,但我们的初始测试产生了一些最常见的安全问题,例如默认密码,认证绕过和SQL注入,使我们意识到智能城市已经暴露于应该的旧学校威胁不是任何智能环境的一部分,” 共享 Daniel Crowley,IBM X-Force Red的研究主任。

“在我们发现漏洞和开发的漏洞中以在攻击方案中测试他们的积分之后,我们的团队在互联网上发现了几十个(以及某些情况下,在某些情况下,数百个),每个供应商都在互联网上进行远程访问。我们所做的只是使用Shodan或Censys等常见的搜索引擎,这些搜索引擎可以使用计算机的任何人访问。”

漏洞

研究人员通过三家制造商测试了四种解决方案:

  • 利比林(Libelium)是无线传感器网络的硬件制造商的Meshlium)
  • I.lon 100 / i.lon smartserver和i.lon 600 by Echelon(梯队专业从事工业物联网,嵌入式和建筑应用程序和网络照明控制等制造设备)
  • V2I(车辆到基础设施)集线器v2.5.1 by Battelle,以及
  • Battelle的V2I集线器v3.0(Battelle是一种非营利组织,可以发展和商业化技术)。

“我们测试的设备分为三类:智能运输系统,灾害管理和工业互联网(物联网)。它们通过Wi-Fi,4G Cellular,ZigBee和其他通信协议和平台进行通信。由这些系统及其传感器产生的数据被馈送到界面,告诉我们关于我们城市状态的事情 - 就像大坝的水位变得过高,核电站附近的辐射水平是安全的或交通高速公路今天不是太糟糕,” Crowley explained.

发现Meshlium有四个关键的预认证壳注射漏洞,梯队’S产品有两个认证旁路缺陷,默认凭据,明文密码和未加密的通信,以及Battelle’S解决方案体育了一个硬编码的管理帐户,SQL注入漏洞,默认API键,APU身份验证绕过漏洞等。

这些缺陷中的一些可以很容易地利用来创造“panic attacks”和危险的公民’s lives.

“攻击者可以操纵水位传感器响应,以报告没有 - 创造恐慌,疏散和稳定化的区域的洪水。相反,攻击者可以沉默洪水传感器,以防止实际洪水事件的警告,无论是由天然手段还是与破坏大坝或水库的破坏,” Crowley explained.

攻击者还可以通过虚假建筑警报,紧急警报,通过篡改交通控制系统等来创建一般混乱。

更好的安全

研究人员与制造商分享了他们的调查结果,他非常响应,并且已经推出了修复。他们还通知他们在网上找到的弱势设备的所有者。

聪明的城市是未来的,但行业需要重新检查这些系统的框架,以便从一开始,克劳利指出,以安全的方式设计和测试它们。

他们对保护智能城市系统的建议包括实现连接的IP地址限制;使用应用程序扫描工具识别简单的缺陷;实现更安全的密码和API关键实践,利用SIEM工具来识别可疑流量;并雇用“黑客”测试软件和硬件漏洞的系统。

分享这个