Jun 10, 2023
Критические уязвимости подвергают систему управления парковкой хакерским атакам
В системе управления парковкой обнаружено около десятка уязвимостей
Около дюжины уязвимостей было обнаружено в системе управления парковкой итальянской компании Carlo Gavazzi, которая производит электронные компоненты управления для автоматизации зданий и промышленности.
К
Флипборд
Реддит
Пинтерест
Электронная почта
Около дюжины уязвимостей было обнаружено в системе управления парковкой итальянской компании Carlo Gavazzi, которая производит электронные компоненты управления для автоматизации зданий и промышленности.
Недостатки были обнаружены исследователями из компании Claroty, занимающейся промышленной кибербезопасностью, в сервере CPY Car Park Carlo Gavazzi и продуктах шлюза и контроллера мониторинга UWP 3.0. Ранее в этом году поставщик выпустил исправления для затронутых продуктов.
Базирующаяся в Германии организация [email protected], которая координирует раскрытие уязвимостей, влияющих на продукты систем промышленного контроля (ICS) и операционных технологий (OT) европейских поставщиков, опубликовала рекомендацию, описывающую проблемы Карло Гавацци. В сообщении [email protected] описываются 11 уязвимостей, и агентство предупреждает, что злоумышленник может использовать их, чтобы «получить полный доступ к затронутым устройствам».
Вера Менс, исследователь безопасности Claroty, которому [email protected] сообщил об уязвимостях, рассказала SecurityWeek, что затронутый продукт UWP представляет собой веб-приложение, предназначенное для удаленного управления системами автоматизации зданий, управления энергопотреблением и управления парковкой, которые предоставляют водителям с информацией о наличии парковочных мест на территории автостоянки.
«Шлюз мониторинга UWP — это многоцелевое устройство, способное запускать различные серверы мониторинга, каждый из которых предназначен для разных целей», — пояснил Менс. «Например, сервер парковки CPY — это функция устройства UWP 3.0, предназначенная для мониторинга и управления другими устройствами на парковке, которые отслеживают доступные парковочные места. В этом примере на каждом парковочном месте есть датчики, которые определяют, есть ли Датчики передают данные серверу автостоянки CPY, который объединяет данные, предоставляет аналитику (например, пропускную способность с течением времени) и координирует всю операцию».
Было обнаружено, что эти продукты подвержены критическим уязвимостям, связанным с жестко запрограммированными учетными данными, внедрением SQL, отсутствием аутентификации, неправильной проверкой входных данных и обходом путей, а также рядом проблем высокой серьезности. Эти дыры в безопасности можно использовать для обхода аутентификации, получения информации и выполнения команд, что позволяет злоумышленнику получить полный контроль над целевой системой.
К счастью, Менс сказал, что Клароти не знает ни о каких устройствах UWP, доступных в Интернете, а это означает, что злоумышленнику придется получить доступ к целевой сети, чтобы воспользоваться уязвимостями.
Однако злоумышленник, получивший доступ к целевой сети, может использовать уязвимости для выполнения различных действий.
«Эти уязвимости могут быть использованы и могут привести к различным сценариям атак, включая использование устройства мониторинга и подделку данных мониторинга, управление вложенными устройствами, такими как удаленные контроллеры и датчики, с целью нарушения физического процесса и многое другое», — пояснил Менс.
Исследователь рассказал, что вендор быстро устранил все уязвимости. Согласно [email protected], UWP3.0 версии 8.5.0.3 и новее, а также CPY Car Park Server версии 2.8.3 и новее устраняют недостатки. Агентство кибербезопасности также поделилось некоторыми общими рекомендациями по предотвращению атак такого типа.
Связанный: Новые уязвимости позволяют проводить атаки в стиле Stuxnet на ПЛК Rockwell
Связанный: Критические уязвимости, обнаруженные в продукте AUVESY, используемом крупными промышленными фирмами
Связанный: 1000 организаций подверглись удаленным атакам из-за уязвимостей FileWave MDM
Эдуард Ковач (@EduardKovacs) — пишущий редактор SecurityWeek. Он проработал учителем информационных технологий в средней школе в течение двух лет, прежде чем начал карьеру в журналистике в качестве репортера новостей безопасности Softpedia. Эдуард имеет степень бакалавра промышленной информатики и степень магистра компьютерных технологий, применяемых в электротехнике.