黑客可能会在悉尼的谷歌办事处中发出热量。字面上地。
带气体的计算机安全研究人员发现谷歌的澳大利亚分公司正在使用未染成的版本尼亚加拉,一种用于管理建筑物中的控制系统的软件系统。
[还:最糟糕的数据违规行为]
Billy Rios,技术总监兼咨询赛咨询整理,写了该发现是该公司正在进行工业控制系统的研究的一部分,涉及为易受攻击的设备扫描互联网。
谷歌在码头7的建筑 - 悉尼港口的风景名胜 - 使用了霍尼韦尔公司拥有的公司开发的尼亚加拉框架的“略微过时”版本。气体写了一个自定义漏洞,可以从Niagara提取配置文件,其中包含授权用户的用户名和密码。
虽然密码被加密,但整个气体使用自定义工具来解密密码,打开软件以进行收购。
RIOS写道,气体没有任何恶意并通知谷歌的谷歌的谷歌,而公司“迅速地脱机”。但该公司的研究人员确实在系统中偷看,这使得他们可以看到办公室的三楼地图,揭示其水和HVAC系统。
谷歌发言人周二表示,当研究人员向我们报告他们的发现时,我们很感激。我们采取了适当的行动来解决这个问题。“
研究人员可以将“根”控制系统“根本”,或保持持久性,完全访问它。谷歌表示,研究人员的访问只允许他们操纵建筑的加热和冷却。
已经发现工业控制系统,这些系统被广泛用于各种环境(如工厂和实用程序),包含危险漏洞,使黑客能够远程控制敏感系统。
美国政府运营自己的组织,是工业控制系统网络应急响应团队,这致力于研究安全问题,目的是确保批判性国家基础设施。
里奥斯在他的博客上写道去年11月,尼亚加拉工业控制系统是世界上使用最广泛的工业控制体。他发现了他报告的软件中的其他漏洞。
在初始缓慢的响应之后,RIOS写道,Tridium和Honeywell最终给了他专门的访问来审查他们的补丁,该修补程序修复了一个目录横向问题,弱会话问题和涉及用户凭据不安全存储的问题。
向Jeremy_kirk@idg.com发送新闻提示和评论。在推特上关注我:@jeremy_kirk