La bella idea degli account cablati


Gli apparati di GarretCom non si vedono di solito negli uffici.

Sono apparati di rete di tipo industriale realizzati per funzionare in condizioni estreme di temperatura, polvere o altro. Inoltre parlano anche protocolli tipici dell’ambiente industriale, come Modbus e DNP, e possono fare conversioni da IP a seriale.

Molti di questi apparati sono utilizzati nelle infrastrutture critiche, come le ferrovie o la distribuzione elettrica.

Clyance ha scoperto che i software MNS-6K e MNS-6K-SECURE che girano su quegli apparati hanno un serio problema di sicurezza. Nel software è cablato un utente factory con un password fissa che può essere utilizzato via seriale per poter accedere al dispositivo in caso di necessità. La vulnerabilità risiede nel fatto che un utente collegato via rete con un altro tipo di account può passare all’account factory in un modo non previsto dallo sviluppatore.

Le versioni vulnerabili dei software sono MNS-6K release v4.1.14 e precedenti e MNS-6K release v14.1.14 SECURE e precedenti.

ArsTechnica ha scoperto che alcuni di questi dispositivi sono collegati a Internet e sono vulnerabili.

Non è la prima volta che in apparati di questo tipo vengono scoperte delle vulnerabilità simili. Se prima non costituivano un problema perché le reti industriali erano isolate, con l’avvento di Internet e della volontà di collegarsi da remoto diventano problemi molto seri.


Una replica a “La bella idea degli account cablati”

  1. Le macchine industriali sono un caso patologico di non-sicurezza, perche` da quando sono nate la sicurezza non e` mai stata presa in considerazione. In fin dei conti la sicurezza rende tutto piu` complesso, e cio` che e` complesso e` piu` facile che malfunzioni. Il problema e` che nell’ecosistema attuale non si puo` pensare di fare impianti senza sicurezza; anche se non sono direttamente collegati a internet, il pericolo del malware creato appositamente per attaccare il tuo sistema a mezzo di vettori off-line (chiavette) rimane. E oramai ne abbiamo le prove.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.