Language
Критические уязвимости подвергают систему управления парковкой хакерским атакам

Новости

ДомДом / Новости / Критические уязвимости подвергают систему управления парковкой хакерским атакам
search
СВЕЖИЕ НОВОСТИ

Jul 30, 2023

Финансирование в размере 10,5 млн долларов на открытие железнодорожного переезда в Балларате, где в результате крушения поезда была закрыта улица Лидьярд

Dec 29, 2023

Финансирование в размере 10,5 млн долларов на открытие железнодорожного переезда в Балларате, где в результате крушения поезда была закрыта улица Лидьярд

May 07, 2023

10 крупнейших компаний по зарядке электромобилей в Европе

Oct 22, 2023

10 электромобилей, которые изменили определение скорости и мощности

Oct 15, 2023

10 электромобилей, доступных с возможностью двунаправленной зарядки

ОТПРАВИТЬ ЗАПРОС
ПРЕДСТАВЛЯТЬ НА РАССМОТРЕНИЕ

Sep 10, 2023

Критические уязвимости подвергают систему управления парковкой хакерским атакам

В системе управления парковкой обнаружено около десятка уязвимостей

Около дюжины уязвимостей было обнаружено в системе управления парковкой итальянской компании Carlo Gavazzi, которая производит электронные компоненты управления для автоматизации зданий и промышленности.

К

Флипборд

Реддит

Пинтерест

WhatsApp

WhatsApp

Электронная почта

Около дюжины уязвимостей было обнаружено в системе управления парковкой итальянской компании Carlo Gavazzi, которая производит электронные компоненты управления для автоматизации зданий и промышленности.

Недостатки были обнаружены исследователями из компании Claroty, занимающейся промышленной кибербезопасностью, в сервере CPY Car Park Carlo Gavazzi и продуктах шлюза и контроллера мониторинга UWP 3.0. Ранее в этом году поставщик выпустил исправления для затронутых продуктов.

Базирующаяся в Германии организация [email protected], которая координирует раскрытие уязвимостей, влияющих на продукты систем промышленного контроля (ICS) и операционных технологий (OT) европейских поставщиков, опубликовала рекомендацию, описывающую проблемы Карло Гавацци. В сообщении [email protected] описываются 11 уязвимостей, и агентство предупреждает, что злоумышленник может использовать их, чтобы «получить полный доступ к затронутым устройствам».

Вера Менс, исследователь безопасности Claroty, которому [email protected] сообщил об уязвимостях, рассказала SecurityWeek, что затронутый продукт UWP представляет собой веб-приложение, предназначенное для удаленного управления системами автоматизации зданий, управления энергопотреблением и управления парковкой, которые предоставляют водителям с информацией о наличии парковочных мест на территории автостоянки.

«Шлюз мониторинга UWP — это многоцелевое устройство, способное запускать различные серверы мониторинга, каждый из которых предназначен для разных целей», — пояснил Менс. «Например, сервер парковки CPY — это функция устройства UWP 3.0, предназначенная для мониторинга и управления другими устройствами на парковке, которые отслеживают доступные парковочные места. В этом примере на каждом парковочном месте есть датчики, которые определяют, есть ли Датчики передают данные серверу автостоянки CPY, который объединяет данные, предоставляет аналитику (например, пропускную способность с течением времени) и координирует всю операцию».

Было обнаружено, что эти продукты подвержены критическим уязвимостям, связанным с жестко запрограммированными учетными данными, внедрением SQL, отсутствием аутентификации, неправильной проверкой входных данных и обходом путей, а также рядом проблем высокой серьезности. Эти дыры в безопасности можно использовать для обхода аутентификации, получения информации и выполнения команд, что позволяет злоумышленнику получить полный контроль над целевой системой.

К счастью, Менс сказал, что Клароти не знает ни о каких устройствах UWP, доступных в Интернете, а это означает, что злоумышленнику придется получить доступ к целевой сети, чтобы воспользоваться уязвимостями.

Однако злоумышленник, получивший доступ к целевой сети, может использовать уязвимости для выполнения различных действий.

«Эти уязвимости могут быть использованы и могут привести к различным сценариям атак, включая использование устройства мониторинга и подделку данных мониторинга, управление вложенными устройствами, такими как удаленные контроллеры и датчики, с целью нарушения физического процесса и многое другое», — пояснил Менс.

Исследователь рассказал, что вендор быстро устранил все уязвимости. Согласно [email protected], UWP3.0 версии 8.5.0.3 и новее, а также CPY Car Park Server версии 2.8.3 и новее устраняют недостатки. Агентство кибербезопасности также поделилось некоторыми общими рекомендациями по предотвращению атак такого типа.

Связанный: Новые уязвимости позволяют проводить атаки в стиле Stuxnet на ПЛК Rockwell

Связанный: Критические уязвимости, обнаруженные в продукте AUVESY, используемом крупными промышленными фирмами

Связанный: 1000 организаций подверглись удаленным атакам из-за уязвимостей FileWave MDM

Эдуард Ковач (@EduardKovacs) — пишущий редактор SecurityWeek. Он проработал учителем информационных технологий в средней школе в течение двух лет, прежде чем начал карьеру в журналистике в качестве репортера новостей безопасности Softpedia. Эдуард имеет степень бакалавра промышленной информатики и степень магистра компьютерных технологий, применяемых в электротехнике.