Ряд уязвимостей, затрагивающих промышленные маршрутизаторы InHand Networks, позволяют хакерам обойти системы безопасности и получить доступ к внутренним сетям оперативного технологического управления (Internal OT Networks) прямо из Интернета.
Агентство США по кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA) на прошлой неделе опубликовало памятку для информирования организаций о пяти уязвимостях, обнаруженных исследователем из компании Otorio в промышленных маршрутизаторах InHand InRouter302 и InRouter615.
По данным CISA, большинство уязвимостей связаны с протоколом для передачи последовательности сообщений с телеметрическими данными (Message Queuing Telemetry Transport, MQTT). Использование такой уязвимости может привести к выполнению команд злоумышленника и раскрытию информации.
Пять найденных “дыр в безопасности” классифицировали следующим образом: одной был присвоен критическая степень серьезности, ещё двум – высокая, и двум оставшимся – средняя степень серьезности.
Матан Добрушин, вице-президент по исследованиям в Otorio, сообщил, что уязвимости затрагивают как платформу облачного управления, так и программное обеспечение устройства.
“Одновременное использование этих уязвимостей может позволить злоумышленнику удаленно выполнять код от имени пользователя root на всех подключенных устройствах InRouter302 и InRouter615 непосредственно из Интернета”, – пояснил Добрушин.
Затронутые устройства используются для работы промышленных роботов, нефтяных скважин, лифтов, медицинского оборудования, станций зарядки электромобилей и интеллектуальных счетчиков. Критически важные сферы промышленности подверглись серьёзной угрозе.
“Этим уязвимостям подвержены десятки тысяч устройств, затрагивающих множества инфраструктур по всему миру”, – предупредил Добрушин.
Рони Гаврилов, исследователь из Оторио, которому приписывают обнаружение этих уязвимостей, предоставил дополнительную информацию об их влиянии в посте на LinkedIn. “Успешное использование беспроводных Все большая часть IoT-устройств создается для использования потребителями, включая транспортные средства, системы “Умный дом”, умную одежду, медицинские устройства и приборы с возможностями удаленного мониторинга.