Qualys 表示,约有 55,000 个联网供暖系统(包括索契奥林匹克体育场的一个系统)缺乏足够的安全性
一家安全公司周四警告称,Target 大规模入侵事件揭露出许多公司使用的互联网供暖、通风和空调 (HVAC) 系统缺乏足够的安全保护,这为黑客提供了进入公司关键系统的潜在门户。
云安全服务提供商 Qualys 表示,其研究人员发现,过去两年内接入互联网的约 55,000 个 HVAC 系统中,大多数都存在漏洞,很容易被黑客利用。在 Target 的案例中,黑客窃取了为其提供 HVAC 服务的公司的登录凭据,并利用该访问权限进入该公司的支付系统。
据该安全公司称,HVAC 系统连接到各种零售公司、政府大楼甚至医院的网络。HVAC 供应商和其他第三方通常有权远程访问这些系统,以用于管理和支持目的。
Qualys 表示,黑客可以利用这些系统进入企业网络并进入其他公司系统。
塔吉特百货最近遭遇的黑客攻击,导致 4000 万张信用卡和借记卡数据被盗,据信就是以这种方式发生的。据最先报道这一大规模黑客攻击的安全博主 Brian Krebs 称,黑客使用从为零售商提供 HVAC 服务的公司窃取的登录凭据进入 Target 网络。
这家暖通空调公司显然有权访问 Target 的网络,以便执行远程监控各个商店的能源消耗和温度等任务。Target 数据窃贼利用远程访问权限在零售商的网络上站稳脚跟,随后越过该公司的支付系统。
Qualys 情报总监 Billy Rios 在一封电子邮件中表示,大多数公司都不知道 HVAC 系统已连接到互联网,并且可以作为进入公司网络和敏感数据的网关。
“这次入侵不仅仅影响到 Target。还有很多其他公司的控制系统也受到了影响,”Rios 说道。
在披露攻击者如何访问 Target 网络后,Qualys 进行了一些网络扫描,发现 Target 总部的 HVAC 系统仍然在线可见。他说,索契奥运会场馆的 HVAC 和能源管理系统也是如此。
“索契系统甚至不需要密码,所以只要你知道 IP 地址,你就可以进入。我们已经联系了集成商,警告他们这个问题,”里奥斯指出。
通常,那些可以远程访问暖通空调系统的公司没有意识到这些系统可以作为敏感公司网络的网关。因此,他们通常倾向于采取松懈的安全措施,他说。例如,许多暖通空调管理公司使用相同的密码访问属于多个客户的系统,他说。
Rios 表示,Qualys 已经与国土安全部就此问题展开合作三年,因此这一威胁并非人人皆知。“大多数人只是还不知道而已,”他补充道。
提供远程访问安全工具的公司 Bomgar 的解决方案工程高级总监 Boatner Blankenstein 表示,Target 的泄密事件表明了公司为什么需要采取措施来控制第三方在其网络上可以做什么。
大型企业通常会向软件、硬件和众多其他供应商及外部第三方授予远程访问权限。但很少有企业采取措施确保访问得到适当的身份验证和保护。
他说,虽然许多公司可能会定期记录远程访问会话,但很少有公司有能力从安全角度审核访问。
