ИБ-эксперты из компании Pen Test Partners обнародовали отчет об уязвимостях в системах отопления школ и американских военных объектах. Как утверждают исследователи, они менее чем за 10 секунд обнаружили около 1000 незащищенных систем, которые случайно подключены к интернету.
В отчете указано, что неправильно установленные контроллеры отопительных систем зафиксированы в правительственных учреждениях, школах, офисах различных компаний и на военных базах. Эксперты потратили менее 10 секунд на то, чтобы обнаружить свыше 1000 уязвимых систем. Хакеры, используя майнеры, уже взломали некоторые системы отопления, хотя они технически непригодны для майнинга.
Уязвимые системы удалось найти посредством поисковой системы Shodan. Так, эксперты искали проблемное оборудование среди контроллеров IQ3 Excite и IQ412 Excite производства Trend Controls. С помощью уязвимых устройств хакер может обходить процедуру аутентификации на встроенном веб-сервере, похищать пароли, а также перехватывать сессию через интернет.
Как утверждают специалисты, в данном случае вина за уязвимости лежит не на производителе систем, а на тех, кто занимался их установкой и не соблюдал правила безопасности.
