"Wykorzystywanie oprogramowania, które umożliwia bezproblemowe zdalne zarządzanie budynkiem jest bez wątpienia wygodne - ale w pewnych okolicznościach może stanowić poważne zagrożenie. Wiele firm nie ma pojęcia, że do ich systemów można się zdalnie włamać" - wyjaśnia Billy Rios, dyrektor techniczny Cylance. Dodajmy, że Rios kilka dni temu wraz z innym specjalistą z tej firmy (Terry'm S. McCorkle Jr.) ujawnił, że dzięki luce w oprogramowaniu Tridium NiagaraAX udało im się sterować ogrzewaniem w lokalnym biurze Google.

Z przeprowadzonych przez nich analiz wynika, że obecnie na całym świecie wykorzystywanych jest ok. 230 tys. kopii platformy NiagaraAX - opartego na Javie frameworka, używanego jako środowisko do uruchamiania aplikacji obsługujących poszczególne aspekty zarządzania budynkiem (ogrzewanie, klimatyzację, kontrolę dostępu itp.). Problem polega na tym, że w oprogramowaniu tym znajdują się błędy, umożliwiające nieautoryzowane uzyskanie dostępu do modułów sterujących.

Zobacz również:

• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie
• VMware wzywa do pilnej aktualizacji oprogramowania Aria for Network Operations

Znalezienie wersji podatnych na błędy było możliwe dzięki wykorzystaniu Shodan (czyli specjalistycznej wyszukiwarki umożliwiającej znajdowanie podłączonych do Internetu urządzeń o określonych parametrach - od serwerów, przez kamery przemysłowe, aż po lodówki, turbiny wiatrowe itp.). Wyniki wyszukiwania wykazały, że NiagaraAX najczęściej wykorzystywana jest w Kanadzie, USA oraz Australii. Co więcej - okazało się, że ok. 3/4 wszystkich aktywnych instalacji jest niezaktualizowana (a że w starszych wydaniach są znane błędy, to ryzyko ataku jest całkiem realne).

Rios i McCorkle w czasie swojego testowego "ataku" na Google wykorzystali lukę umożliwiają zmianę wartości w module odpowiedzialnym za kontrolowanie temperatury - okazało się bowiem, że możliwe jest nieautoryzowane wpisanie wartości wyższej niż zdefiniowana przez administratora. Ten błąd jest znany producentowi oprogramowania, który udostępnił już nawet stosowną aktualizację - problem w tym, że większość użytkowników wciąż jej nie zaktualizowała.

Zdaniem ekspertów, wina w tym przypadku leży głównie po stronie firm, które wdrażają takie rozwiązania w innych przedsiębiorstwach (zwykle operacje takie zleca się zewnętrznym dostawcom), którzy instalują i uruchamiają oprogramowania do zarządzania w wersji aktualnej w danym momencie, ale później nie zajmują się już jego aktualizowaniem.