IBM X-Force Red นำเสนอผลสำรวจความปลอดภัยโซลูชั่นสมาร์ตซิตี้ พบช่องโหว่จำนวนมาก

ทีม IBM X-Force Red ทดสอบอุปกรณ์จากผู้ผลิตโซลูชั่นสมาร์ตซิตี้, IoT และ IIoT ในอุตสาหกรรม พบว่าผู้ผลิต 3 สามที่ทีมงานทดสอบ ล้วนมีช่องโหว่ร้ายแรงทั้งสิ้น

รายการช่องโหว่ ได้แก่

  • Meshlium จาก Libelium พบช่องโหว่ระดับวิกฤติ 4 จุด สามารถยิงโค้ด shell เข้าไปยังอุปกรณ์ได้โดยไม่ต้องล็อกอิน
  • i.LON จาก Echelon สามารถข้ามการล็อกอินระบบ, มีรหัสผ่านค่าเริ่มต้นจากโรงงาน, การสื่อสารไม่เข้ารหัส, และเก็บรหัสผ่านแบบ plaintext
  • V2I จาก Battelle มีรหัสผ่านผู้ดูแลระบบฮาร์โค้ดไว้ในระบบ, ช่องโหว่ SQL Injection, API key เริ่มต้นจากโรงงาน

ความน่ากังวลของโซลูชั่นสมาร์ตซิตี้เหล่านี้คือมันมักถูกติดตั้งทีละเป็นวงกว้าง ทาง X-Force ระบุว่าการติดตั้งควรคำนึงถึงความปลอดภัยแต่แรก เช่น การจำกัดการเข้าถึง, มีการสแกนความปลอดภัยเพื่อหาช่องโหว่ง่ายๆ ก่อน, การออกแบบควรคำนึงถึงความปลอดภัย, มีระบบการจัดการล็อกเพื่อหาพฤติกรรมผิดปกติ

ผู้ผลิตทั้งสามรายออกแพตช์เรียบร้อยแล้ว อย่างไรก็ดีการที่อุปกรณ์เหล่านี้ไม่ได้มีการใช้งานตามบ้านทั่วไป ก็ทำให้น่าสงสัยว่าโซลูชั่นอื่นๆ จะถูกทดสอบความปลอดภัยก่อนการติดตั้งขนานใหญ่มากน้อยแค่ไหน

ที่มา – ThreatPost, Security Intelligence

No Description

Topics: 

from:https://www.blognone.com/node/104505

Advertisements