安全研究人员警告,使用互联网连接的灌溉系统组成的“管道僵尸网络”,在供水的同时可能会对城市的供水系统造成潜在的攻击,甚至会耗尽城市的水资源。
来自以色列内盖夫本-古里安大学的六名学者组成的团队确认并分析了几个连接到互联网的商业灌溉系统固件中的安全缺陷。他们集中研究了三种常见的智能灌溉系统:GreenIQ,BlueSpray和RainMachine,并发现这些系统存在漏洞,使攻击者能够随意实现远程打开和关闭浇水系统。一些设备容易发生中间人(MiTM)攻击,而其他设备可能被欺骗通过操纵其传感器或欺骗天气数据来启动浇水过程。
该团队演示了在受损设备上运行的机器人如何在不到15分钟的时间内检测到连接到局域网的智能灌溉系统,以及使用一组会话劫持和反复攻击使得每个智能灌溉系统开启浇水。
从实质上看,攻击将利用连接到城市关键基础设施的安全性较差的物联网(IoT)设备。研究人员指出,与直接感染城市供水服务的物理网络系统相比,通过互联网连接灌溉控制器的“军队”进行攻击要容易得多。
“以往对关键基础设施的攻击需要攻击者破坏关键基础设施系统,我们对关键基础设施进行攻击,不需要破坏基础设施本身,而是通过攻击不受控制的客户端基础设施间接完成攻击基础设施提供商。”
研究人员认为,尽管市政当局和地方政府实体已采用新的绿色技术,利用物联网智能灌溉系统取代传统的喷水灭火系统,但他们没有与之匹配的关键基础设施安全标准。管道僵尸网络也可能将绿色技术变成水灾:通过同时应用利用此类漏洞的分布式攻击,1,355个智能灌溉系统的僵尸网络可以在一小时内清空城市水塔,23,866个智能灌溉系统组成的僵尸网络可以在一夜之间清空洪水水库。攻击过程首先控制一个计算机僵尸网络,目的是在本地网络上检测智能灌溉系统。
在公开之前,团队已经向供应商披露了漏洞,以进行固件升级。随着物联网触角的伸展,更多的基础设施和常用设备将会被纳入体系中,不断出现的安全缺陷也提示系统开发方和使用方在追求高效操作的同时切勿忽略固件等方面的安全。