Корпоративная
Специалисты по кибербезопасности обнаружили сразу несколько крупных уязвимостей в системе «умного» освещения Lightify, разработанного компанией Osram. Так, хакеры могут удаленно проводить атаки на систему через браузер и даже получить доступ к беспроводной корпоративной сети. Слабые места были обнаружены после того, как производитель «умных» осветительных продуктов, решил протестировать свою Lightify специалистами по IT-безопасности компании Rapid7.
Так, одной из 9 уязвимостей стал недостаток в системе управления веб-интерфейса, который открывает киберзлоумышленникам практически свободный доступ к профессиональным осветительным решениям. В компании, устроившей Lightify пентест, отметили, что хакер может вводить любой сторонний JavaScript и HTML-код в веб-консоли, которая будет считать его аутентифицированным пользователем. Тем самым, любое лицо может менять конфигурацию системы или полностью ее контролировать.
Другая потенциальная опасность кроется в CVE-2016-5056, которая может позволить хакеру удаленно получить доступ к корпоративным беспроводным сетям. А это в свою очередь дает злоумышленнику возможность завладеть конфиденциальной информацией компании, использующей систему смарт-освещения. Проблема заключается в использовании системой предварительно выбранных общих ключей, которые состоят из 8 символов, выбираемых из числа «0123456789abcdef». Специалистам Rapid7 понадобилось менее 6 часов, чтобы взломать код.
Представители Osram заявили, что результаты теста на проникновение показал, необходимость разработки и построения более эффективной системы управления рисками. Большинство ошибок, обнаруженных Rapid7, будут исправлены в ближайшей обновленной версии Lightify, выпуск которой планируется уже в августе.
Источник: ТАСС
