近日,來自Safety Detective研究實驗室的安全研究員在一篇報告中指出,由Resource Data Management(一家位於蘇格蘭的遠程監控解決方案公司)製造的製冷系統存在重大安全漏洞,而這些控制系統正在被世界各地的醫院和連鎖超市使用,包括英國最大的跨國商業零售集團瑪莎百貨(Marks&Spencer,M&S)、英國最大的線上超市Ocado和英國最大的東方食品供應商和華人超市之一惠康食品(Way-on)等。
這份報告指出,Safety Detective研究實驗室的安全研究員利用Shodan互聯網搜索引擎在英國、澳大利亞、以色列、德國、荷蘭、馬來西亞、冰島以及世界其他國家共發現了分佈於數百個不同地點的7419臺易受***設備(醫用冷藏櫃、超市冷藏櫃、冷凍庫等)。
Safety Detective研究實驗室的安全研究員表示,安全漏洞來源於這些製冷系統使用了不安全的HTTP協議和9000端口(也包括8080、8100和80),且仍在使用默認用戶名和默認密碼“1234”,甚至連繫統管理員也很少更改。
這也就意味着,任何人都可以通過任意一款瀏覽器來訪問這些系統——只需要知道對應的網址。Safety Detective研究實驗室的安全研究員表示,想要找到這些網址並不困難,甚至只需要進行簡單的谷歌搜索就能辦到。
比如,Safety Detective研究實驗室的安全研究員僅通過谷歌搜索就在很短的時間裏找到了分別屬於德國一家制冷工廠和英國一家醫院的製冷系統對應的網址。以下是Safety Detective研究實驗室的安全研究員獲取到的英國這家醫院的網絡佈局圖:
一家大型超市被發現也有類似的網絡佈局圖:
下面是該超市其中一臺冷藏櫃的詳細數據。值得注意的是,從網址欄我們可以看出,這個頁面是通過不安全的網址訪問的。想要控制這臺冷藏櫃,你只需單擊一個按鈕並輸入默認用戶名和密碼即可。
除此之外,Safety Detective研究實驗室的安全研究員還成功進入了瑪莎百貨(Marks&Spencer,M&S)的製冷系統:
研究人員表示,你不僅可以通過此係統來更改冷藏櫃設置,甚至還可以修改用戶設置、警報設置等。
如上所述,這些系統正在被世界各地的企業使用。Safety Detective研究實驗室的安全研究員表示,他們還成功訪問了一個冰島食品儲存倉庫的製冷系統:
甚至還包括馬來西亞最大的一家制藥公司的系統。
其他受影響的大型企業還包括:
Menu Italiano,一家意大利食品製造商,在意大利、丹麥、比利時、瑞典、德國和中國都設有辦事處;
Muenstermann Kuelhaus am Grossmarket Dueseldorf,一家位於德國的冷凍工廠;
CCM Duopharma Biotech Berhad,一家位於馬來西亞雪蘭莪的製藥公司。
實際上,這並非Safety Detective研究實驗室首次發現影響全球的安全漏洞。早在今年1月份,Safety Detective研究實驗室的安全研究員就在Amadeus在線訂票系統中發現了一個嚴重的安全漏洞,而全球共有141家國際航空公司都採用了該系統,包括美國聯合航空(United Airlines)、德國漢莎航空(Deutsche Lufthansa AG)和加拿大航空(Air Canada)等。
Safety Detective研究實驗室的安全研究員在當時指出,別有用心的惡意***者完全可以利用此漏洞來查看、篡改這些航空公司旅客的訂票信息及個人信息,涉及到數百萬旅客的個人隱私安全。