Optergy技术的后门可以一键远程关闭智能建筑

国际2020-02-06 15:59:55
导读国土安全部对流行的智能楼宇自动化系统中的漏洞给出了最高严重程度评分。Optergy的Proton允许建筑物所有者和管理者远程监控能源消耗并管理

国土安全部对流行的智能楼宇自动化系统中的漏洞给出了最高严重程度评分。Optergy的Proton允许建筑物所有者和管理者远程监控能源消耗并管理谁可以进入房屋。该盒子是网络连接的,并连接到建筑物内的其他设备 - 如空调和暖气 - ,通过网络界面进行实时监控。

政府专门的网络安全部门CISA表示,该设备存在严重的漏洞。

一份咨询报告称,攻击者可以通过“未记录的后门脚本”获得“完全系统访问权限”。该通知称,这可能允许攻击者在具有最高权限的易受攻击设备上运行命令。后门通常授予对系统的隐藏或未记录的访问权限,并可用于技术支持以远程登录和解决问题。但如果被攻击者发现,后门也可能被恶意使用。

该漏洞需要“低级别”技能才能远程利用,并被评为10.0,是行业标准常见漏洞评分系统中的最高分。该通报还指出了其他一些错误,其中一个被评为9.9分。

尽管10.0分并非闻所未闻,但它们在日常技术中并不常见。10.0分数依赖于可能对系统的完整性和可用性产生重大影响的漏洞,或者将数据放在受影响的系统上,存在高风险的损坏或被盗。

应用风险的安全研究员Gjoko Krstic报告了Optergy的漏洞,他告诉TechCrunch这个漏洞“非常,非常糟糕”并且“容易被利用。”根据Krstic的说法,在撰写本文时,有50座建筑物易受攻击。他的调查结果于上个月在阿姆斯特丹的Hack In The Box举行,这是一个安全会议,作为与其他四家供应商(包括Opertgy)的更广泛问题的一部分。

通过利用漏洞,可以“一键关闭建筑物”,他在谈话中说。Optergy总裁Steve Guzelimian表示,公司已经解决了这些问题,但无法确认有多少设备受到影响。该公司表示,它为1,800多家工厂提供服务。

“我们解决所有引起我们注意的问题以及进行自己的常规测试,”他说。

免责声明:本文由用户上传,如有侵权请联系删除!