ทีม IBM X-Force Red ทดสอบอุปกรณ์จากผู้ผลิตโซลูชั่นสมาร์ตซิตี้, IoT และ IIoT ในอุตสาหกรรม พบว่าผู้ผลิต 3 สามที่ทีมงานทดสอบ ล้วนมีช่องโหว่ร้ายแรงทั้งสิ้น
รายการช่องโหว่ ได้แก่
- Meshlium จาก Libeliumพบช่องโหว่ระดับวิกฤติ 4 จุด สามารถยิงโค้ด shell เข้าไปยังอุปกรณ์ได้โดยไม่ต้องล็อกอิน
- i.LON จาก Echelonสามารถข้ามการล็อกอินระบบ, มีรหัสผ่านค่าเริ่มต้นจากโรงงาน, การสื่อสารไม่เข้ารหัส, และเก็บรหัสผ่านแบบ plaintext
- V2I จาก Battelleมีรหัสผ่านผู้ดูแลระบบฮาร์โค้ดไว้ในระบบ, ช่องโหว่ SQL Injection, API key เริ่มต้นจากโรงงาน
ความน่ากังวลของโซลูชั่นสมาร์ตซิตี้เหล่านี้คือมันมักถูกติดตั้งทีละเป็นวงกว้าง ทาง X-Force ระบุว่าการติดตั้งควรคำนึงถึงความปลอดภัยแต่แรก เช่น การจำกัดการเข้าถึง, มีการสแกนความปลอดภัยเพื่อหาช่องโหว่ง่ายๆ ก่อน, การออกแบบควรคำนึงถึงความปลอดภัย, มีระบบการจัดการล็อกเพื่อหาพฤติกรรมผิดปกติ
ผู้ผลิตทั้งสามรายออกแพตช์เรียบร้อยแล้ว อย่างไรก็ดีการที่อุปกรณ์เหล่านี้ไม่ได้มีการใช้งานตามบ้านทั่วไป ก็ทำให้น่าสงสัยว่าโซลูชั่นอื่นๆ จะถูกทดสอบความปลอดภัยก่อนการติดตั้งขนานใหญ่มากน้อยแค่ไหน
ที่มา - ThreatPost , Security Intelligence
Hiring! บริษัทที่น่าสนใจ