2020年10月30日
近日,以色列安全研究公司Security Joes發現,全球100多個地方安裝的Mottech Water Management公司的智能灌溉系統沒有更改出廠默認密碼,這些聯網設備很容易受到黑客的惡意攻擊。
研究人員立即向以色列CERT,受影響的公司以及智能灌溉系統供應商Mottech Water Management發出警報。
Mottech公司的系統可以通過臺式機和手機對農業和草皮/園林綠化設施進行實時控制和灌溉監控。傳感器網絡允許將水和肥料靈活,實時地分配給系統中的不同閥門。攻擊者訪問網絡可能導致灌溉系統淹沒田地或過量施肥,造成嚴重損失。
Security Joes的聯合創始人伊多·納爾(Ido Naor)表示,公司會定期在互聯網上掃描以色列的開放設備以檢查漏洞。最近,其研究人員發現,開放的互聯網上可以看到以色列境內的55個灌溉系統,而沒有密碼保護。擴大搜索范圍后,他們發現了50個其他國家/地區的無保護設備,分布在法國、韓國、瑞士和美國等國家/地區。
“我們正在談論的是成熟的灌溉系統,它們可能是整個城市,”Naor說。“我們不會仔細查看灌溉系統的具體地址,因為我們不想造成任何麻煩。”
Naor透露,在最后一次檢查中,到目前為止,只有大約20%的已識別脆弱灌溉設備采取了緩解措施來保護它們。
以色列的供水系統曾遭攻擊 灌溉和供水系統的安全性問題不是杞人憂天,尤其是在以色列。據《以色列時報》報道,去年四月伊朗對以色列水系統發起網絡攻擊,試圖增加水中的氯含量以毒害平民,并最終中斷水供應。 據以色列時報報道,該國國家網絡管理局局長伊加爾·烏納(Yigal Unna)在5月下旬的亞洲CybertechLive會議上發出警告,即對人民的直接網絡攻擊掀開了網絡戰的新篇章。 報告說:“網絡冬季到來的速度比我想象的還要快,”他在會議上說,“我們才剛剛開始。” 七月的幾周后,以色列水務局表示,它能夠制止對以色列的農業用水泵的襲擊以及對“國家中部”供水基礎設施的襲擊。 Naor說,這次發現的沒有密碼保護的灌溉系統與以前的攻擊無關。 目標鎖定以色列以外的公用事業 水系統的漏洞當然不僅限于以色列。 上個月,研究人員發現了CodeMeter的六個嚴重漏洞,該設備用于為美國的工業系統(包括水和電力設施)供電,可被利用來發起攻擊甚至允許第三方接管系統。 整個夏天,研究人員發現,用于在工業環境中遠程訪問運營技術(OT)網絡的VPN使現場設備容易受到攻擊,這可能會導致關機甚至造成物理損壞。 政府正在努力跟上整個關鍵基礎設施系統中物聯網(IoT)設備的增長。在美國,眾議院于9月通過了立法,規定了聯邦政府內部對IoT設備的最低要求。 Naor指出,制定物聯網設備的最低安全標準是關鍵基礎架構保障的重要一步。他補充說,運營商需要認真對待安全性,兩因素身份驗證應該是從移動設備訪問這些物聯網系統的最低要求。 江蘇國駿-打造安全可信的網絡世界 為IT提升價值 http://www.jewellerybykaren.com/ 免費咨詢熱線:400-6776-989