سال مهار تورم و رشد تولید
دفتر تلفن
EN FA
پیشخوان خدمت
سامانه احراز هویت متمرکز
اطلاعات پژوهشی
سامانه گلستان
مایکروسافت 365
پست الکترونیک
سامانه آموزش الکترونیکی
کتابخانه دیجیتال
تغذیه
پذیرش دانشجو بین الملل
اتوماسیون اداری چارگون
فیش حقوقی
سامانه آموزش کارکنان
هوش سازمانی
سامانه بها یابی
مرکز تخصصی آپا خوارزمی
اخبار
اخبار تخصصی امنیت

کشف 17 آسیب پذیری در تنها 4 دستگاه مربوط به شهر هوشمند

 | تاریخ ارسال: 1397/5/24 | 
شهرهای هوشمند همچنان به حدی که مدیران آن فکر می کنند شفاف و ایده آل نیستند. طبق تحقیقاتی که به تازگی انجام شده است نقص های امنیتی بسیاری در وسایل مورد استفاده در شهرهای هوشمند وجود دارد. نکته ای که مهم است این است که فروشندگان وسایل مربوط به شهرهای هوشمند، حتی نکات ابتدایی امنیتی را رعایت نمی کنند. 
طی مطالعات اخیری که توسط X-Force Team شرکت IBM در کنفرانس Black Hat 2018 انتشار یافت، با بررسی چهار دستگاه 17 آسیب پذیری کشف گردید که 9 تا از این آسیب پذیری ها دارای درجه ی بحرانی می باشند. تمامی این دستگاه برای اتصال خودروها و سایر وسایل مورد استفاده قرار می گیرند. پیدایش این پروژه مربوط به یک خطای انسانی از سوی ساکنان هاوائی بود که اعتقاد داشتند جزایر آنان تحت حمله موشکی در ژانویه 2018 قرار داشته اند.


با توجه به این نکته، IBM تصمیم گرفت تا با بررسی سیستم، ببیند آیا محققان می توانند نقص هایی را پیدا کنند که منجر به حملات در "سطح فوق العاده" شوند. Crowley در خصوص نحوه شروع مطالعات بیان نمود:"ما به بررسی تکنیک های استفاده شده پرداختیم و سعی به هک آنان نمودیم. آسیب پذیری های بسیاری را به سرع یافتیم که ما را آشفته کرد". شرکت IBM دیوایس های i.LON 100/i.LON SmartServer و i.LON 600 از Echelon و V2I Hub v2.5.1 و V2I Hub v3.0 از Battelle را مورد بررسی قرار داد. معایب امنیتی شامل دستگاه هایی بود که در اینترنت دیده می شدند؛ 
در مورد دیگر، نرم افزاری متن باز با نام کاربری و رمز عبور Hard-Coded بود که یافتن اینگونه نام های کاربری و رمزهای عبور آسان است، نقص دیگری که یافت گردید در Shell آنان بود که به مهاجم دسترسی root اعطا می شد. برای نشان دادن یکی از این تهدیدات مربوط به حملات احتمالی، تیم Crowley یک فرآیند نمایشی برروی یکی از دستگاه-هایی که مورد مطالعه قرار دادند را از Meshlium IOT ایجاد نمودند. آنان از وسایل مانیتورینگ رایج همانند سنسور تشعشع استفاده نمودند و هر مشکلی را گزارش نمودند، که مخاطبان Black Hat را در معرض تابش قرار دادن، ایده جالبی نمی باشد، لذا تیم Crowley محصولات Meshlium را به یک سنسور آب متصل کرد و یک سیلندر را که سطح آب رودخانه را کنترل می کند را تحت اختیار خود درآورد. به علت نقص های shell در محصول Meshlium، Crowley قادر به هک کردن دستگاه و خواندن ورودی های غلط بود، در نتیجه آب بیش از حد آزاد شد و به جاده جعلی راه اندازی شد. 
Crowley بیان نمود: خبر خوب این است که فروشندگان، هنگامی که نقص ها گزارش شده بودند، در همه موارد به سرعت وصله های مربوطه را انتشار نمودند. اما مطالعات نشان داد که واضح است که تولیدکنندگان فکر و تأکید زیادی بر امنیت ندارند و آن را در اولویت کمتری قرار می دهند. Crowley بیان نمود که یکی از دلایلی که ما در این شرایط قرارگرفته ایم این است که تولید کنندگان تنها تمرکزشان برروی یافتن بازار فروش به عنوان اولین شرکت می باشد. علاوه بر آن، حتی انجام یک بررسی پایه ثابت می تواند جلوی آسیب پذیری-های بزرگی را بگیرد. در زیر لیستی از مشکلات یافت شده در دستگاه های شهرهوشمند قرار گرفته است:
Meshlium by Libelium - Wireless sensor networks
  • (4) CRITICAL -- Pre-Authentication Shell Injection Flaw in Meshlium (four distinct instances)
i.LON 100/i.LON SmartServer and i.LON 600 by Echelon
  • CRITICAL -- i.LON 100 default configuration allows authentication bypass - CVE-2018-10627
  • CRITICAL -- i.LON 100 and i.LON 600 authentication bypass flaw - CVE-2018-8859
  • HIGH -- i.LON 100 and i.LON 600 default credentials 
  • MEDIUM -- i.LON 100 and i.LON 600 unencrypted communications - CVE-2018-8855 
  • LOW -- i.LON 100 and i.LON 600 plaintext passwords - CVE-2018-8851
V2I (Vehicle-to-Infrastructure) Hub v2.5.1 by Battelle
  • CRITICAL -- Hard-Coded Administrative Account - CVE-2018-1000625
  • HIGH -- Sensitive Functionality Available Without Authentication - CVE-2018-1000624
  • HIGH -- SQL Injection - CVE-2018-1000630 • HIGH -- Default API Key - CVE-2018-1000626 
  • HIGH -- API Key File Web Accessible - CVE-2018-1000627 • HIGH -- API Auth Bypass - CVE-2018-1000628 
  • MEDIUM -- Reflected XSS - CVE-2018-1000629 
V2I Hub v3.0 by Battelle
  • CRITICAL -- SQL Injection - CVE-2018-1000631
کلیدواژه ها: آسیب پذیری | شهر هوشمند | IOT |
سایر مطالب این بخش | نسخه قابل چاپ | ارسال به دوستان |


CAPTCHA
دفعات مشاهده: 8284 بار   |   دفعات چاپ: 734 بار   |   دفعات ارسال به دیگران: 0 بار   |   0 نظر