近日,以色列安全研究公司Security Joes发现,全球100多个地方安装的Mottech Water Management公司的智能灌溉系统没有更改出厂默认密码,这些联网设备很容易受到黑客的恶意攻击。
研究人员立即向以色列CERT,受影响的公司以及智能灌溉系统供应商Mottech Water Management发出警报。
Mottech公司的系统可以通过台式机和手机对农业和草皮/园林绿化设施进行实时控制和灌溉监控。传感器网络允许将水和肥料灵活,实时地分配给系统中的不同阀门。攻击者访问网络可能导致灌溉系统淹没田地或过量施肥,造成严重损失。
Security Joes的联合创始人伊多·纳尔(Ido Naor)表示,公司会定期在互联网上扫描以色列的开放设备以检查漏洞。最近,其研究人员发现,开放的互联网上可以看到以色列境内的55个灌溉系统,而没有密码保护。扩大搜索范围后,他们发现了50个其他国家/地区的无保护设备,分布在法国、韩国、瑞士和美国等国家/地区。
“我们正在谈论的是成熟的灌溉系统,它们可能是整个城市,”Naor说。“我们不会仔细查看灌溉系统的具体地址,因为我们不想造成任何麻烦。”
Naor透露,在最后一次检查中,到目前为止,只有大约20%的已识别脆弱灌溉设备采取了缓解措施来保护它们。
以色列的供水系统曾遭攻击
灌溉和供水系统的安全性问题不是杞人忧天,尤其是在以色列。据《以色列时报》报道,去年四月伊朗对以色列水系统发起网络攻击,试图增加水中的氯含量以毒害平民,并最终中断水供应。
据以色列时报报道,该国国家网络管理局局长伊加尔·乌纳(Yigal Unna)在5月下旬的亚洲CybertechLive会议上发出警告,即对人民的直接网络攻击掀开了网络战的新篇章。
报告说:“网络冬季到来的速度比我想象的还要快,”他在会议上说,“我们才刚刚开始。”
七月的几周后,以色列水务局表示,它能够制止对以色列的农业用水泵的袭击以及对“国家中部”供水基础设施的袭击。
Naor说,这次发现的没有密码保护的灌溉系统与以前的攻击无关。
目标锁定以色列以外的公用事业
水系统的漏洞当然不仅限于以色列。
上个月,研究人员发现了CodeMeter的六个严重漏洞,该设备用于为美国的工业系统(包括水和电力设施)供电,可被利用来发起攻击甚至允许第三方接管系统。
整个夏天,研究人员发现,用于在工业环境中远程访问运营技术(OT)网络的虚拟专用网使现场设备容易受到攻击,这可能会导致关机甚至造成物理损坏。
政府正在努力跟上整个关键基础设施系统中物联网(IoT)设备的增长。在美国,众议院于9月通过了立法,规定了联邦政府内部对IoT设备的最低要求。
Naor指出,制定物联网设备的最低安全标准是关键基础架构保障的重要一步。他补充说,运营商需要认真对待安全性,两因素身份验证应该是从移动设备访问这些物联网系统的最低要求。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】