Bezpečnostní experti odhalili více než tucet vážných chyb v populární platformě Niagara Framework od společnosti Tridium, divize Honeywellu. Tento systém je klíčovou technologií pro integraci a řízení zařízení, jako je vytápění, klimatizace, osvětlení nebo energetický management, a nachází uplatnění při správě budov i v průmyslové automatizaci. Díky tomu se stal součástí mnoha kritických infrastruktur po celém světě a představuje významný cíl pro kybernetické útoky.

Podle zprávy jsou chyby zneužitelné zejména v případech, kdy je systém špatně nakonfigurován a šifrování v síti je vypnuto. Útočník s přístupem do sítě může v takové situaci zachytit komunikaci, získat přístupové tokeny a obejít autentizaci. Kombinací několika slabin je možné získat administrátorská oprávnění, stáhnout privátní klíče spojené s TLS certifikáty a nakonec provést vzdálené spuštění kódu jako root. To útočníkovi otevírá cestu k úplnému převzetí kontroly nad platformou a dlouhodobému narušení provozu.

Tridium už vydalo aktualizace, které chyby opravují, přesto zůstává riziko vysoké. Platforma totiž často propojuje různé kritické systémy a někdy spojuje provozní technologie s běžnými IT sítěmi. Útoky proto mohou mít zásadní dopady nejen na bezpečnost, ale i na kontinuitu poskytovaných služeb. V posledních měsících byly navíc objeveny další slabiny v průmyslových zařízeních i softwarových knihovnách, což potvrzuje, že zabezpečení provozních technologií je stále jednou z největších výzev současnosti.

Zdroj: The Hacker News