Эксперты получили полный контроль над АСУЗ в ходе показательного тестирования на проникновение

Используемые на предприятиях автоматизированные системы управления зданием (АСУЗ) открыты для хакерских атак. К такому выводу пришли эксперты IBM и Akamai после показательного тестирования на проникновение АСУЗ неназванной компании со множеством офисов.  

Команде исследователей в лице Пола Ионеску (Paul Ionescu), Джонатана Фитцджеральда (Jonathan Fitzgerald), Джона Цукатто (John Zuccato), Уоррена Мойнихана (Warren Moynihan) и Бреннана Бразо (Brennan Brazeau) удалось проникнуть в подключенные к интернету автоматические системы управления нескольких зданий, ответственные за работу различных контроллеров, датчиков и термостатов. По словам экспертов, сначала они получили доступ к АСУЗ одного строения, а затем к центральному серверу, благодаря чему смогли проникнуть в АСУЗ других зданий.

Исследователи обнаружили открытые административные порты, получили доступ к панели D-Link для осуществления удаленного мониторинга и web-серверу. Путем добавления дополнительного символа возврата каретки после запроса страницы эксперты обошли систему аутентификации маршрутизатора.

По словам исследователей, они обнаружили ряд уязвимостей в маршрутизаторе и список команд в исходном коде прошивки. Обнаружение незашифрованного пароля в директории var не только облегчило процесс взлома маршрутизатора, но также позволило скомпрометировать АСУЗ.

«Если бы пароль был зашифрован или вообще использовался какой-нибудь другой, получить доступ к автоматизированным контроллерам было бы намного сложнее», - сообщается в отчете экспертов.