Эксперт компании IOActive Рубен Сантамарта рассказал о разнообразных уязвимостях в оборудовании для контроля уровня радиации, которые используются на атомных электростанциях и пограничных постах, в морских портах и учреждениях здравоохранения.
Специалист провел анализ разных моделей приборов контроля уровня радиации, произведенных тремя компаниями: Digi, Ludlum и Mirion. Эксперту удалось выявить целый ряд проблем: скрытые аккаунты-бэкдоры, слабые алгоритмы шифрования, вшитые ключи и использование незащищенных протоколов. Как утверждает Сантамарта, злоумышленник может воспользоваться бэкдором для того, чтобы захватывать контроль над устройством или с помощью других уязвимостей провести атаку типа man-in-the-middle, а также перехватывать и вносить изменения в данные, которые приборы передают друг другу.
Специалист сообщил о найденных проблемах производителям, которые, однако, отказались устранять их.
Так, представители Digi отметили, что компания не рассматривает выявленные проблемы как уязвимости, а потому не будет работать над обновлениями. Сотрудники Ludlum признали факт наличия уязвимости, но заявили, что не намерены их исправлять, так как оборудование находится в защищенных объектах, вследствие чего злоумышленники не смогут воспользоваться данными ошибками. Специалисты компании Mirion утверждают, что, устранив уязвимости, они нарушат совместимость с протоколом WRM2. Однако они пообещали усилить защиту оборудования.
