В элитной посудомоечной машине Miele найдена опасная «дыра». Производитель не реагирует уже полгода

Безопасность Стратегия безопасности Техника
мобильная версия
, Текст: Роман Георгиев
В веб-сервере, встроенном в медицинскую посудомоечную машину Miele Professional PG 8528, обнаружена узявимость, позволяющая запускать произвольный код в этом оборудовании. Изготовителя уведомили о существовании проблемы, но он проигнорировал все предупреждения.

Удаленное управление

Эксперты по безопасности обнаружили серьезную уязвимость в программном сервере, установленном на профессиональную посудомоечную машину Miele Professional PG 8528. Производитель был уведомлен о проблеме, но никакой реакции с его стороны нет с осени 2016 г.

Компания Miele производит дорогостоящую кухонную и медицинскую технику. Система Miele Professional PG 8528, например, представляет собой посудомоечную машину и дезинфекционный аппарат, рассчитанный на использование в медицинских учреждениях.

Производитель оснастил эту машину веб-сервером PST10, чтобы ей можно было управлять удаленно - через веб-браузер.

Эксперт по кибербезопасности Йенс Регель (Jens Regel) из консалтинговой фирмы Schneider & Wulf обнаружил в этом сервере брешь средней степени опасности:

«Встроенный веб-сервер PST10 WebServer обыкновенно "слушает" порт 80 и уязвим перед атакой класса directory traversal, что означает, что неавторизованный злоумышленник может использовать эту проблему для получения значимой информации, с помощью которой возможно осуществление последующих атак», - говорится в описании проблемы.

Точка входа

Суть атаки Directory Traversal заключается в получении нелегитимного доступа к необходимому файлу на сервере, используя ошибки систем безопасности и путем подмены пути к файлу.

Медицинская посудомоечная машина Miele Professional PG 8528

Благодаря выявленной уязвимости злоумышленник может получить доступ к значимой информации на сервере или внедрить свой исполняемый код.

Йенс Регель утверждает, что с помощью довольно простого эксплойта ему удалось вызвать файл /etc/shadow, который должен быть доступен только пользователю с root-правами (в этом файле содержатся «теневые пароли», включая root-пароль). Возможно получения доступа и к другим ресурсам на том же сервере.

В теории, такая посудомоечная машина может стать «точкой входа» в сеть предприятия, при условии, что она не изолирована от других сегментов внутренней сети и доступна через интернет напрямую.

Отсутствие реакции

Регель утверждает, что уведомил Miele о существующей проблеме еще в ноябре 2016 г. После того, как представителям Miele были переданы все данные об уязвимости, они перестали отвечать на запросы эксперта.

В результате тот опубликовал всю информацию вместе с экспериментальным эксплойтом. Сведений о выпуске исправлений для уязвимого компонента на данный момент нет.

«К сожалению, это уже довольно типичная ситуация: производители оборудования, которое прежде не подразумевало подключения к интернету, - от промышленных систем до автомобилей и кофеварок, - начинают оснащать свои изделия сетевыми модулями, при этом не уделяя должного внимания их безопасности, - комментирует Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». – В результате мы наблюдаем угрожающе низкий уровень защищенности промышленных систем, недопустимые ошибки в бортовых системах «умных» автомобилей, холодильники, распространяющие спам, и посудомоечные машины, контроль над которыми можно без особого труда захватить удаленно. Надежность любой системы определяется надежностью его самого слабого звена. Пока производители такого оборудования, подключаемого к Сети, не поймут, что к сетевым компонентам нельзя относиться как к чему-то второстепенному, ситуация вряд ли изменится».