Ένας ερευνητής ασφαλείας λέει ότι βρήκε ένα σφάλμα σε σύστημα ελέγχου φωτεινών σηματοδοτών (φαναριών) που θα επέτρεπε σε hackers να αλλάξουν τα φώτα και να δημιουργήσουν μποτιλιαρίσματα ή και ατυχήματα.
Ο Andrew Lemon, ερευνητής στην εταιρεία κυβερνοασφάλειας Red Threat, περιέγραψε λεπτομερώς τα ευρήματά του. Μία από τις συσκευές που εξέτασε ο Lemon είναι το Intelight X-1, στο οποίο υπάρχει ένα σφάλμα που επιτρέπει σε οποιονδήποτε να έχει τον πλήρη έλεγχο των φαναριών. Το πρόβλημα έγκειται στο ότι δεν υπάρχει έλεγχος ταυτότητας στο web interface της συσκευής που εκτίθεται στο διαδίκτυο.
Δείτε επίσης: Σφάλμα Cisco SSM On-Prem επιτρέπει αλλαγή του κωδικού πρόσβασης
Ο Lemon είπε ότι προσπάθησε να δει εάν ήταν δυνατό να ενεργοποιηθεί ένα σενάριο το οποίο περιλαμβάνει την αλλαγή όλων των ενδείξεων σε μια διασταύρωση. Αλλά ο ερευνητής είπε ότι βρήκε μια άλλη συσκευή που ονομάζεται Malfunction Management Unit που εμποδίζει αυτό το σενάριο.
«Είναι ακόμα δυνατή η αλλαγή στα φώτα και στο χρονοδιάγραμμα. Αν θέλει κάποιος, μπορεί να ρυθμίσει το χρόνο σε τρία λεπτά, προς μία κατεύθυνση και τρία δευτερόλεπτα για την άλλη κατεύθυνση. Πρόκειται για μια συνθήκη denial of service στον πραγματικό κόσμο, ώστε να μπορείς να φράξεις την κυκλοφορία», είπε ο Lemon.
Δεν είναι σαφές πόσες ευάλωτες συσκευές Intelight είναι προσβάσιμες από το Διαδίκτυο. Ο Lemon είπε ότι αυτός και η ομάδα του βρήκαν περίπου 30 εκτεθειμένες συσκευές.
Δείτε επίσης: Η Microsoft διορθώνει σφάλμα των Windows 11 που προκαλεί βρόχους επανεκκίνησης
Ο Lemon είπε ότι επικοινώνησε με την Q-Free, την εταιρεία που κατέχει το Intelight. Ωστόσο, φαίνεται ότι η εταιρεία δεν ανταποκρίθηκε στο σφάλμα, αλλά αντ’ αυτού έστειλε μια επιστολή (σύμφωνα με τον Lemon).
«Δεχόμαστε μόνο αναφορές ευπαθειών που σχετίζονται με προϊόντα Q-Free που προσφέρονται προς πώληση αυτήν τη στιγμή. Δεν διαθέτουμε τους απαραίτητους πόρους για να εξετάσουμε αναλύσεις ξεπερασμένων στοιχείων», έγραφε το αντίγραφο της επιστολής, το οποίο φαίνεται να υπογράφεται από τον Steven D. Tibbets, γενικό σύμβουλο της Q-Free.
Το αντίγραφο της επιστολής ανέφερε ότι η συσκευή που ανέλυσε ο Lemon δεν είναι προς πώληση και ότι ο τρόπος με τον οποίο την ερεύνησε η Red Threat μπορεί να παραβίασε το νόμο περί hacking (Computer Fraud and Abuse Act). Στη συνέχεια, η επιστολή ζητούσε από τον Lemon και τη Red Threat να δεσμευτούν ότι δεν θα δημοσιεύσουν λεπτομέρειες για την ευπάθεια, επειδή θα μπορούσε να βλάψει την εθνική ασφάλεια.
Δείτε επίσης: GitLab: Κρίσιμο σφάλμα επιτρέπει εκτέλεση pipelines σε εισβολείς
Η ανακάλυψη ενός σφάλματος στα συστήματα ελέγχου φαναριών χρησιμεύει ως έντονη υπενθύμιση των πιθανών κινδύνων των επιθέσεων στον κυβερνοχώρο στον όλο και πιο συνδεδεμένο κόσμο μας. Ενώ αυτό το άρθρο επικεντρώθηκε στη συγκεκριμένη ευπάθεια που εντοπίζεται στους ελεγκτές φωτεινών σηματοδοτών, είναι σημαντικό να σημειωθεί ότι αυτό είναι μόνο ένα παράδειγμα του τρόπου με τον οποίο οι hackers θα μπορούσαν ενδεχομένως να διαταράξουν την καθημερινή μας ζωή μέσω επιθέσεων.
Από τα δίκτυα ηλεκτρικής ενέργειας έως τα συστήματα υγειονομικής περίθαλψης, σχεδόν κάθε πτυχή της σύγχρονης κοινωνίας βασίζεται σε μεγάλο βαθμό στην τεχνολογία και τη συνδεσιμότητα. Ως εκ τούτου, είναι ζωτικής σημασίας για τις εταιρείες και τις κυβερνήσεις να δώσουν προτεραιότητα στα μέτρα κυβερνοασφάλειας προκειμένου να προστατευτούν από πιθανές επιθέσεις.
Πηγή: techcrunch.com