La investigación, llevada a cabo por los investigadores en Internet Wache de Berlín, comenzó en 2015 como una búsqueda de routers específicos usados por sistemas de control industrial pero el investigador Tim Philipp Schafers encontró más de lo que esperaba e interfaces web de administración de ICS sin autenticación comenzaron a aparecer en las búsquedas.
Si bien hay una variedad de sistemas industriales, los hallazgos más interesantes de la exploración de Internet Wache fueron las instalaciones de energía hidroeléctrica. Se descubrieron cuatro sistemas HMI que permitían supervisar los sistemas de control y gestionar las bombas de agua. Tres de los HMIs descubiertos estaban en Alemania, incluyendo uno cerca de Munich que brinda servicio de agua potable a 80.000 personas.
Los investigadores pudieron leer datos de los sensores de consumo de agua y otros valores relacionados con la planta pero también habrían podido manipularlos e incluso sería posible interrumpir el suministro de agua de la ciudad.
Los resultados del estudio fueron divulgados a la BSI, la oficina federal alemana de seguridad, y a CERT_Bund, los cuales informaron de las vulnerabilidades a los operadores de la planta. Los cuatro sistemas de las plantas ya no accesible desde Internet.
El análisis también encontró una amplia gama de sistema de automatización de departamentos de lujo en un edificio de Israel. Un atacante podría aprovechar estos errores para controlar la iluminación del edificio, manipular los sistemas de calefacción y aire acondicionado.
Wache también informó un gran número de errores de software, como fallas de XSS en las interfaces web de los sistemas.
Fuente: ThreatPost
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!