Специалист Applied Risk Геко Крстич (Gjoko Krstic) обнаружил незадокументированные бэкдоры в автоматизированных системах управления зданиями Proton и Enterprise производства Optergy. Одна из уязвимостей позволяет получить полный доступ к системе, используя недокументированный бэкдор. Проблеме присвоен максимальный уровень угрозы — 10 баллов по шкале CVSS 3.0.

Согласно описанию бага CVE-2019-7276, злоумышленники могли воспользоваться им для удаленного выполнения кода на уязвимом устройстве с максимальным уровнем привилегий. Технические детали пока не раскрываются, но в комментарии для TechCrunch Крстич отметил простоту эксплуатации проблемы.

Исследователь обнаружил и другие угрозы в системах Proton и Enterprise:

  • CVE-2019-7274 (9,9 балла) — атакующие могут загружать или передавать вредоносные файлы, автоматически выполняемые в операционной среде устройства.
  • CVE-2019-7278 (7,3 балла) — неавторизованные пользователи могут применять недокументированные возможности для получения доступа к некоторым ресурсам через интерфейс удаленного управления системой.
  • CVE-2019-7279 (7,3 балла) — преступники могут воспользоваться уязвимостью для несанкционированной отправки SMS на любой телефонный номер.
  • CVE-2019-7272 (5,3 балла) — злоумышленники могут получить доступ к учетным данным всех пользователей в системе.
  • CVE-2019-7273 (5 баллов) — уязвимость приложения к CSRF-атакам позволяет выполнить некоторые действия с правами администратора, если пользователь, авторизовавшись, зайдет на вредоносный сайт.
  • CVE-2019-7275 (3,1 балла) позволяет перенаправить пользователя на недоверенный сайт.

«Мы исправляем все проблемы, о которых нам сообщили, и проводим собственные регулярные испытания», — заявил журналистам TechCrunch президент Optergy Стив Гузелимян (Steve Guzelimian). Называть точное количество уязвимых устройств он отказался. По словам Крстича, шестого июня под угрозой все еще оставались 50 зданий.

Взлом систем управления зданиями в 2017 году был назван одной из угроз скорого будущего — к такому выводу в своем отчете для Министерства внутренней безопасности США пришли аналитики из Института программной инженерии. Этого мнения придерживается и Крстич: на конференции Hack In The Box в прошлом месяце он сообщил, что, используя уязвимость, можно «обесточить здание одним щелчком мыши».

Категории: Уязвимости