Эксплуатация некоторых уязвимостей позволяла получить полный контроль над глубоководной буровой установкой.
Специалисты из компании Pen Test Partners в ходе изучения коммерческого судоходства и нефтяных платформ обнаружили целый ряд грубых ошибок и уязвимостей в компьютерных системах. Эксплуатация некоторых уязвимостей позволяла получить полный контроль над глубоководной буровой установкой в море, используемой для поиска нефти.
По словам экспертов, они могли «остановить двигатель, запустить систему динамического позиционирования, изменить положение руля, испортить навигацию и просто вывести из строя компьютерные системы».
Команда экспертов обнаружила тайные точки доступа Wi-Fi в зонах без Wi-Fi на кораблях, а также ПК с двойными подключениеми к сети. Некоторые из них были изначально установлены, другие — случайно, остальные — позже подключены членами экипажа.
Исследователи выявили слабые вшитые пароли, записки на ПК с паролями в открытом виде, а также встроенные учетные данные для критически важных элементов, в том числе для бортового спутникового блока, что потенциально позволяет любому пассажиру корабля авторизоваться системе и бесплатно воспользоваться платным интернетом или вовсе отключить его.
«Одним из самых больших сюрпризов оказалось количество установок, использующих дефолтные учетные данные, например, admin/admin или blank/blank, даже в общедоступных системах», — сообщили эксперты.