一组研究人员在Smart Building（智能建筑）中使用的协议和组件中发现了六个零日漏洞。 这些漏洞可用于窃取敏感信息，访问或删除关键文件或执行恶意操作。 这些缺陷包括跨站点脚本（XSS）和路径遍历到任意文件删除和身份验证绕过。它们出现在楼宇自动化设备中，例如可编程逻辑控制器（PLC）和网关协议。 来自两个用于发现连接到互联网的计算机硬件的聚合数据搜索引擎的表明受这些漏洞影响的数千个设备在线暴露。

Smart Building网络架构

为了证明现代智能建筑的风险是真实的，研究人员构建了概念验证恶意软件，其目标是在实验室中建立监控，访问控制和HVAC系统。

然而，典型的楼宇自动化系统（BAS）网络比这更大，并且包括各种系统，例如电梯，访问控制系统，视频监视，HVAC，照明，消防和电力系统。 这种类型的基础设施不仅存在于住宅和商业建筑中，还存在于医院，机场，体育场馆，学校或数据中心。

零日和未公开的漏洞

ForeScout的OT研究团队成员遵循安全评估和渗透测试标准，评估他们的目标。 他们在Access Control PLC和协议网关中发现了三个XSS漏洞，该组件允许通过特定协议进行连接。它可用于将恶意脚本注入到易受攻击设备上运行的Web界面中，从而使攻击者能够访问cookie和会话令牌。

协议网关组件还受到路径遍历和任意文件删除漏洞的影响，该漏洞提供对受影响设备上运行的Web应用程序的根文件夹之外的文件（包括系统）和目录的访问。

在研究人员报告之前，供应商未知的另一个漏洞是在HVAC PLC中 – 一种允许窃取用户凭证的认证旁路，“包括明文密码”。

2013年6月，研究团队就在Access Control PLC中发现了另外两个问题，即缓冲区溢出和硬编码密码。然而，供应商在ForeScout披露之前就已经发现了这些问题，并且发布了一个补丁。

这些缺陷是最严重的，因为它们可以允许在系统上执行代码，允许远程攻击者完全控制。

供应商负责任的批露了所有受漏洞影响的产品，现在可以获得补丁。

暴露的易受攻击的设备

ForeScout研究人员检查了他们分析的系统中有多少是易受攻击和暴露的。

他们在Shodan和Censys上搜索了他们实验室中的相同型号，发现在总共22,902个可公开访问的设备（不包括IP摄像机）中，9,103个受到了他们发现的零天数的影响。

监控系统中的IP摄像机情况更糟。 在11,269台设备中，超过91％（10,312）易受攻击。

通往BAS网络的大门：公开暴露的系统

这是一个理想的架构，子系统将彼此隔离并与IT网络隔离。 但实际上，这种情况很少发生。

其中一个弱点是数据验证的安全功能是可选的。 此外，许多建筑物依赖于旧版本的协议，并且不以安全的方式交换数据。

“无论采用何种协议，物联网和楼宇自动化设备都很容易受到例如注入和内存损坏漏洞的影响，这些漏洞由于编码实践不当而导致攻击者绕过其安全功能并完全控制它们，”

根据该报告，旨在打击BAS网络的恶意软件可能有四种可能的攻击路径：

1. 可公开到达的PLC（可编程逻辑控制器），用于控制执行器和传感器（按照下图中的绿色箭头）
2. 暴露的工作站负责管理整个系统; 然后攻击者必须横向移动才能到达PLC（黄色箭头）
3. 可公开访问的物联网设备 – IP摄像机或路由器 – 并将其用作网络的入口点，然后移至工作站和其他子系统（红色箭头）
4. 气隙网络 – 这需要物理访问才能进入网络，但这在大多数情况下都难以实现 – 然后尝试到达PLC（紫色箭头）

通过专用搜索引擎（Shodan，Censys，ZoomEye）可以发现在互联网上暴露的设备，这些搜索引擎可以扫描在线系统。 如果它们不应该被访问到，那么可能是因为配置错误或内在的弱点。

恶意软件定位操作技术（OT）可以从管理工作站进入网络，管理工作站的管理员成为网络钓鱼攻击的受害者。 它可以横向移动或保持在同一水平。 一旦它在网络上实现持久性，它通常会启动最终的有效负载。

建筑物中的互联自动化系统提供了广泛的攻击面，可以通过应用报告漏洞的补丁来减少攻击面。 但是，尽管有一个修复程序可用，它们仍然容易受到攻击，从而使大规模网络攻击成为可能。

研究人员表示，利用智能建筑中的漏洞会产生破坏性影响。 他们认为，针对智能建筑的恶意软件在不久的将来是不可避免的。

原文链接：

https://www.bleepingcomputer.com/news/security/zero-day-vulnerabilities-leave-smart-buildings-open-to-cyber-attacks/