کیفیت نامطلوب سامانه‌های خودکارسازی و نفوذ آی‌بی‌ام به یکی از آن‌ها

یک تیم آزمون نفوذ آی‌بی‌ام که یک شبکه‌ی مدیریت تولید تجاری را در اختیار دارد، در ارزیابی رایگان خود به انتشار وضعیت امنیتی نامناسب تعبیه‌شده در دستگاه‌‌های آن‌ها پرداخته است.
تیم X-Force آی‌بی‌ام در کنار مهندسی از شرکت Akamai، آزمایشی بر روی یک شرکت که نامش ذکر نشده و دارای دفاتری متعدد است، انجام داده است.
این گروه چندین ساختمان را روبه‌روی سامانه‌ی اینترنتی خودکارسازی ساختمان که به مدیریت کنترل‌کننده‌ها، حس‌گرها و ترموستات‌ها می‌پرداخت، در اختیار گرفت.
این تیم در گزارش خود نوشته است: «ما می‌توانستیم هر کدام از سامانه‌های ساختمان را کنترل کنیم، و علاوه بر آن به کارگزار مرکزی نیز دسترسی پیدا کنیم … و در نتیجه‌ی آن کنترل خود را به چندین ساختمان به لحاظ جغرافیایی پراکنده، گسترش دهیم.»
این نفوذگران می‌گویند که آن‌ها درگاه‌های مدیریتی آسیب‌پذیر را در ساختمان اول شرکت پیدا کردند که دسترسی آن‌ها را به پنل فعال D-Link میسر ساخته، اجازه‌ی نظارت از راه دور بر آن را مهیا می‌کرد. آن‌ها به یک کارگزار وب گزارش‌دهنده‌ی محیط که به وسیله‌ی دستگاه کنترل‌کننده‌ی ساختمان استفاده می‌شد، دسترسی یافتند.
این تیم می‌گوید: «با اضافه کردن یک بازگشت اضافی پس از درخواست صفحه، آن‌ها توانستند احراز هویت مسیریاب را دور بزنند.»
آن‌ها آسیب‌پذیری تزریق دستور در مسیریاب را پیدا کردند و فهرستی از دستورات را در کد منبع سفت‌افزار یافتند.
آن‌ها یک گذرواژه‌ی متنی ساده را در دایرکتوری مسیریاب پیدا کردند که نه تنها اجازه‌ی نفوذ به مسیریاب را می‌داد بلکه استفاده‌ی مجدد از گذرواژه به آن‌ها اجازه می‌داد تا به سامانه‌ی مدیریت ساختمان نفوذ کنند.
«اگر گذرواژه‌ی مسیریاب رمزگذاری شده باشد و یا از یک گذرواژه‌ی دیگر در آن استفاده شده باشد، کار برای دسترسی به کنترل‌کننده‌ی خودکار ساختمان بسیار سخت‌تر می‌شود.»
کارگزار سامانه‌ی خودکار ساختمان از یک گذرواژه‌ی دیگر استفاده می‌کرد و بنابراین گروه نفوذگر به گوگل مراجعه کردند و دریافتند که نرم‌افزار تعبیه‌شده در دستگاه صفحات تشخیص‌دهنده را اجرا می‌کند تا بتواند کدها را اجرا کند.
برخی از پرش‌های آدرس URL اجازه‌ی اجرای کدهای راه دور را بر رو آن می‌داد. آن‌ها به یک پرونده‌ی پیکربندی دسترسی یافتند که حاوی اطلاعات شناسایی مدیر با یک رمزنگاری ساده بود.
«برای جلوگیری از چنین حمله‌ای، کلیدها باید به شکلی پویا و براساس مشخصات دستگاه‌ها تولید شوند زیرا مهاجمان به آنان برای دسترسی کامل به سامانه و رمزگشایی گذرواژه‌ها نیاز دارند.»
فروشنده‌ی سامانه خودکارسازی ساختمان می‌گوید که خدمات آن آسیب‌پذیر نیست و به همین سبب هیچ اصلاحیه‌ای را برای آن منتشر نکرده است.
مرحله‌ی آخری که در آن نیاز است تا نفوذگران به محوطه‌ی پارکینگ شرکت وارد شوند، دریافت فهرست سفید نشانی‌های آی‌پی مدیریت روی کارگزار سامانه‌ی خودکارسازی ساختمان است. D-Link در فهرست سفید قرار داشت به نحوی که تیم توانست از احراز هویت‌های دزیده‌شده از آن استفاده کند و وارد شبکه‌ی بی‌سیم شود.
مدیران باید مطمئن شوند که دستگاه‌ها اصلاح شده، نشانی‌های آی‌پی در فهرست سفید قرار دارند، دیوار‌های آتش روشن هستند، دسترسی‌های غیرلازم از راه دور مسدود است و گذرواژه‌ها منحصربه‌فرد هستند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.