В системе управления придомовыми шлагбаумами нашли уязвимость
В системе управления преимущественно придомовыми шлагбаумами частной компании «АМ Видео» была обнаружена опасная уязвимость, пишет РБК, ссылаясь на сооснователя компании в сфере кибербезопасности Postuf Бекхана Гендаргеноевского. По его словам, основная часть — около 85% — шлагбаумов, управляемых системой, сконцентрированы в Москве, еще 10% расположены в Московской области, остальные — в других регионах. Речь идет о трети всех установленных шлагбаумов в Москве, более 1,5 тыс. штук.
Гендаргеноевский пояснил, что уязвимость заключается в недостатке системы авторизации в веб-приложении, которая позволяет при минимальных правах доступа с демонстрационного аккаунта получать информацию о любых объектах системы, что открывает возможность управлять ими. Уязвимость могла возникнуть из-за того, что компания стремилась делать разработку своими силами и не передала процесс на аутсорсинг. «АМ Видео» уже устранила уязвимость, сообщил учредитель компании Антон Уткин.
По словам руководителя группы аналитики информационной безопасности Positive Technologies Екатерины Килюшевой, само по себе обнаружение уязвимости не является примечательным фактом, но если доступ к системе получит злоумышленник, он, во-первых, может украсть персональные данные пользователей, а во-вторых, вмешаться в управление шлагбаумами: нарушить работу аппаратуры, устроить транспортный коллапс и т. п. Вероятнее всего, речь идет об уязвимости недостаточной проверки прав доступа на стороне сервера, обслуживающего приложение, считает заместитель руководителя департамента аудита Group-IB Павел Супрунюк. По его словам, это довольно распространенная уязвимость, связана она с ошибками в дизайне приложения.
Как отметил гендиректор Infosecurity a Softline Company Николай Агринский, это, скорее всего, уязвимость IDOR (Insecure Direct Object Reference — небезопасные прямые ссылки на объект) в веб-приложении системы управления шлагбаумами, возникающая при ошибках разграничения прав между пользователями. Злоумышленник, авторизовавшись под демонстрационным аккаунтом, перебирая ID-параметр, попадает в личные кабинеты других пользователей, пояснил эксперт. Кроме удаленного открытия шлагбаумов, имея доступ к подобным приложениям, злоумышленник может «подсадить» вредоносный код в код приложения, и когда пользователь зайдет в него, с помощью вредоносной программы злоумышленник получит полный контроль над устройством пользователя, говорит руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев. Также через эту уязвимость возможно дальнейшее проникновение в инфраструктуру оператора шлагбаумов.
Новость