كشف خطأ بسيط عن الوصول إلى الآلاف من أنظمة الإنذار الأمني الذكية
قامت شركة إيتون الأمريكية العملاقة للطاقة والإلكترونيات بإصلاح ثغرة أمنية سمحت للباحث الأمني بالوصول عن بُعد إلى آلاف أنظمة الإنذار الأمني الذكية.
باحث امني فانجليس ستيكاس قال إنه اكتشف الثغرة الأمنية في نظام SecureConnect الخاص بـ Eaton ، وهو نظام قائم على السحابة يسمح للعملاء بالوصول عن بُعد إلى أنظمة الإنذار الأمني وإدارتها وتسليحها ونزع سلاحها من تطبيق جوال.
قال Stykas إن الثغرة الأمنية سمحت لأي شخص بالتسجيل كمستخدم جديد وتخصيص هذا الحساب لأي مجموعة أخرى من المستخدمين ، بما في ذلك مجموعة “الجذر” ، التي لديها إمكانية الوصول إلى جميع أنظمة الإنذار الذكية المتصلة بسحابة إيتون.
تُعرف الثغرة الأمنية باسم مرجع كائن مباشر غير آمن ، أو IDOR ، وهي فئة من الأخطاء الأمنية التي تسمح بالوصول غير المحدد إلى الملفات أو البيانات أو حسابات المستخدمين بسبب ضعف أو نقص عناصر التحكم في الوصول على الخادم. قال Stykas إنه كان من السهل استغلال الخطأ باستخدام أدوات man-in-the-middle مثل Burp Suite من خلال اعتراض رقم مجموعة المستخدم الجديد ومبادلته برقم مجموعة الجذر ، والتي كانت ببساطة “1”.
قال Stykas إن إضافة مستخدم إلى مجموعة الجذر “أتاح الوصول إلى كل شيء” ، بما في ذلك اسم المستخدم المسجل وعنوان البريد الإلكتروني وموقع كل نظام إنذار أمني متصل. قال Stykas إن الوصول كان من الممكن أن يسمح لمهاجم محتمل بالتحكم عن بعد في أنظمة الإنذار الأمني المتصلة بسحابة إيتون – على الرغم من أنه لم يحاول ذلك.
في إشعار أمني نُشر على موقعه على الإنترنت ، أكد إيتون أن الخطأ قد تم اكتشافه في منطق ترخيص الوصول الجماعي الخاص به.
وقال جوناثان هارت ، المتحدث باسم إيتون ، إن الثغرة الأمنية تم إصلاحها في مايو. رفض هارت تحديد عدد عملاء أجهزة الإنذار الذكية ، على الرغم من أن Stykas قالت إن عدد أنظمة الإنذار الذكية المتصلة من Eaton كان يصل إلى عشرات الآلاف.
ورفض إيتون القول ما إذا كانت الثغرة الأمنية تسمح بالتحكم عن بعد في أنظمة الإنذار الأمني المتصلة. قال إيتون إن الثغرة الأمنية “تم التحقق منها على أنها حدث واحد” ، لكنها لم تذكر كيف توصلت إلى هذا الاستنتاج أو ما إذا كانت الشركة تمتلك الوسائل التقنية ، مثل أنظمة التسجيل ، لتحديد ما إذا كانت الثغرة قد تم اكتشافها أو استغلالها مسبقًا.
