Производители отказались устранять уязвимости в приборах радиационного контроля

В оборудовании радиационного контроля выявлены различные уязвимости – от бэкдоров до вшитых ключей и реализации незащищенных протоколов.

В минувшем месяце специалист компании IOActive Рубен Сантамарта (Ruben Santamarta) сообщил о ряде различных уязвимостей в оборудовании радиационного контроля, используемых на атомных электростанциях, в больницах, морских портах и на постах пограничной службы. Исследователь изучил различные модели приборов радиационного контроля от трех производителей – Digi, Ludlum и Mirion.

В ходе анализа Сантамарта выявил различные типы проблем – от скрытых учетных записей (бэкдоров) и слабых алгоритмов шифрования до вшитых ключей и реализации незащищенных протоколов. По его словам, атакующий может использовать бэкдор для перехвата контроля над устройством или проэксплуатировать другие уязвимости для осуществления атаки «человек посередине», а также для перехвата и модификации трафика между приборами.

Сантамарта проинформировал производителей о найденных проблемах, однако те отказались исправлять их по ряду причин. По словам представителей Digi, компания не рассматривает обнаруженные проблемы как уязвимости, поэтому не намерена выпускать соответствующие обновления. В Ludlum признали наличие проблем, но заявили, что не будут устранять уязвимости, поскольку оборудование расположено в защищенных объектах и этого вполне достаточно для предотвращения эксплуатации уязвимостей. Как пояснили в компании Mirion, устранение уязвимостей нарушит совместимость с коммуникационным протоколом WRM2, но производитель намерен принять дополнительные меры по обеспечению безопасности оборудования.

Подробнее с исследованием специалиста можно ознакомиться здесь .