天创培训:您身边的信息安全培训专家!
行业动态
城市智能系统保卫仍需加强

城市智能系统保卫仍需加强

随着科技的进步,城市越来越依赖智能技术,比如交通管理,灾难监测和响应以及远程控制等公用基础设施。这些系统通过4G,ZigBee和Wi-Fi等协议进行通信。

最近夏威夷发生意外虚假导弹警报之后,Threatcare和IBM X-Force Red的专家决定联手分析智能城市系统,以确认它是否存在可被利用的潜在危害漏洞。

两家公司的研究人员分析了Echelon,Libelium和Battelle的产品。他们测试发现在四种类型的智能城市产品中发现了17个先前未知的漏洞,包括8个被描述为“关键”的安全漏洞和6个“高度严重”漏洞。

研究人员测试了Echelon的i.LON 100和600路由器,发现产品允许组织监控和控制LonWorks设备,如泵,阀门,电机,传感器和灯。他们还分析了供应商的智能服务产品,产品描述为“通用控制器,路由器和智能能源管理器,将控制设备连接到基于IP的应用,如楼宇自动化,企业能源管理,需求响应计划和高价值远程资产管理程式。”共有五个漏洞被发现,包括两个允许绕过身份验证、默认凭据、明文密码和缺少加密通信的严重漏洞。

Libelium是一家专注于无线传感器网络硬件的公司,研究人员分析了其产品Meshlium,这是一个物联网网关,专门用于将传感器连接到任何云平台。研究发现了四个不同的预认证外壳注入缺陷实例,它们都被归类为“关键缺陷”。

至于全球研发组织Battelle,IBM和Threatcare则分析了其V2I(车辆到基础设施)Hub的两个版本产品,该产品用于将数据从交通信号控制器传送到联网车辆。

这些系统中发现的漏洞列表包括SQL注入,硬编码密码,不受保护的敏感功能,跨站点脚本(XSS)漏洞以及各种与API相关的问题。这些安全漏洞中的大多数已被认定为“严重”或“高度严重”等级。

这些基本安全漏洞的发现表明智能城市系统极易受到网络攻击,它们在公布前均已完成修复。但令人担忧的是,使用Shodan和Censys进行的在线搜索表明,不少易受攻击的系统可直接从互联网上访问,仍需相关人员提高重视程度,保持警惕。

“根据我们的逻辑推测,如果有人滥用智能系统中的漏洞,甚至可能造成灾难性影响。”研究人员说。专家描述了几种理论攻击场景:攻击者利用这些漏洞操纵水位传感器的数据显示水位,犯罪分子可以进行恶意攻击使得洪水期的水位显示为正常;黑客也可能通过操纵辐射传感器的数据触发辐射泄漏警告;攻击者可以通过劫持交通系统控制交通信号,同时引发建筑物紧急警报,触发枪击传感器。这些行为都可能造成意想不到的后果和规模巨大的民众恐慌。