Несколько посудомоечных машин-дезинфекторов Miele Professional PG 8528. Фото: Miele

В списке рассылки Seclists опубликована информация о необычной уязвимости CVE-2017-7240. Это уязвимость типа Directory Traversal в веб-сервере. Казалось бы, что такого странного? Подобные уязвимости находят сплошь и рядом. Но здесь речь идёт о веб-сервере… посудомоечной машины! В данном случае дыра найдена в промышленной посудомойке-дезинфекторе модели Miele Professional PG 8528 со встроенным Ethernet, веб-сервером и доступом в Интернет. Такие дезинфекторы применяют в больницах, научных лабораториях и т. д.

Подключение к Интернету необходимо посудомоечной машине для того, чтобы ею можно было управлять дистанционно. Управление осуществляется через встроенный веб-сервер под названием PST10 WebServer.

Как указано в описании уязвимости, встроенный веб-сервер прослушивает порт 80. Собственно, по этому порту происходит подключение и атака. Неаутентифицированный злоумышленник имеет возможность подключиться к посудомоечной машине и извлечь из веб-сервера пароли, которые могут быть полезны в последующих атаках.

Подключение к посудомойке по telnet осуществляется следующим образом:

~$ telnet 192.168.0.1 80
Trying 192.168.0.1...
Connected to 192.168.0.1.
Escape character ist '^]'.
GET /../../../../../../../../../../../../etc/shadow HTTP/1.1

Посудомоечная машина возвращает ответ:

HTTP/1.1 200 OK
Date: Wed, 16 Nov 2016 11:58:50 GMT
Server: PST10 WebServer
Content-Type: application/octet-stream
Last-Modified: Fri, 22 Feb 2013 10:04:40 GMT
Content-disposition: attachment; filename="./etc/shadow"
Accept-Ranges: bytes
Content-Length: 52

root:$1$$Md0i[...snip...]Z001:10933:0:99999:7:::

Как видно из ответа посудомойки, она возвращает файл /etc/shadow. Это файл с теневыми паролями. Там же записан и рутовый пароль.

Теневые (shadow) пароли призваны повысить безопасность в Unix-системах. Смысл в том, что зашифрованные пароли переносятся из стандартного файла /etc/passwd в /etc/shadow, который доступен только руту. Согласно формату файла паролей, в каждой строке записан ряд параметров. Это имя пользователя (в данном случае root), затем зашифрованный пароль ($1$$Md0i[...snip...]Z001), потом время последнего изменения пароля (10933), минимальное число дней до изменения пароля (0), максимальное число дней до изменения пароля (99999), число дней до первого предупреждения о смене пароля (7).

Хотя пароль зашифрован, но злоумышленник имеет возможность провести брутфорс по словарю с некоторыми шансами на успех.

Понятно, что обычному злоумышленнику доступ к посудомоечной машине ни к чему, это просто первый шаг на пути к дальнейшему освоению компьютерной сети жертвы, в том числе других устройств Интернета вещей. Пароль к посудомоечной машине может совпадать с паролями от других сервисов, так что с этого бытового прибора может начать разворачиваться крупная афера. Кроме того, злоумышленник может записать свой код для выполнения на веб-сервере.

Уязвимость обнаружил немецкий специалист по безопасности Йенс Регель (Jens Regel) из консалтинговой компании Schneider & Wulf EDV-Beratung GmbH & Co. KG. Он связался с представителем компании Miele 21 ноября 2016 года, а позже отправил всю информацию по багу. Затем он дважды пытался связаться, чтобы получить какой-то ответ, но ему не отвечали. Спустя более чем 4 месяца Йенс Регель выложил информацию в списке рассылки Seclists, то есть в открытом доступе.

Посудомоечные машины Miele Professional PG 8528 не предназначены для установки в домашних условиях, кафе, ресторанах или барах. В первую очередь это оборудование для больниц, где нужно не только мыть, но и дезинфицировать большое количество пробирок, тарелок и прочего оборудования. Уязвимости присвоен уровень опасности «средний». В самом деле, чем-то критически опасным потеря пароля от посудомоечной машины не грозит. Если бы машина была установлена в ресторане или кафе, то соседний ресторан мог бы умышленно запускать посудомойку на целую ночь, чтобы нанести конкуренту как можно больший экономический ущерб, раздув счета за электричество и воду. А какую атаку можно провести на дезинфектор в больнице? Сорвать процедуру дезинфекции в надежде на вирусную эпидемию?

По мере увеличения количества устройств Интернета вещей подобные уязвимости будут находить всё чаще. Когда производители бытовой техники ставят в неё веб-сервер, они очень редко задумываются о вопросах безопасности. Для них главное — удобство использования и маркетинг. Так и появляются холодильники с доступом в Интернет и тостеры с WiFi.

В Интернете вещей количество приборов теоретически может быть на порядок больше, чем в старом компьютерном Интернете. Это настоящее раздолье для создания гигантских ботнетов. Как мы помним, крупнейшая в прошлом году DDoS-атака была организована именно через устройства Интернета вещей — цифровые телеприставки и камеры видеонаблюдения сформировали ботнет Mirai.

Ботнет формировался с помощью червя. Он заражал уязвимые устройства с паролями по умолчанию. Сейчас к числу уязвимых устройств присоединились и посудомоечные машины. Неужели они тоже станут частью будущих ботнетов?
У вас есть посудомоечная машина?

Проголосовало 428 человек. Воздержался 51 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Поделиться с друзьями
-->

Комментарии (46)


  1. AntonSor
    28.03.2017 21:57
    +2

    Дожили, посудомойка под линуксом!


    1. AntonSor
      28.03.2017 21:58

      Да ещё и с уязвимостями! Новый вид хакерской атаки — препятствование мытью посуды.


      1. Garbus
        29.03.2017 06:24
        +1

        Думаю отказ подобной машины в крупной больнице доставит немало хлопот. А если злоумышленник немного «поправит» ей алгоритм, сделав её работу неэффективной?
        В результате, появление множества умных вещей не только радует, но и вызывает настороженность из за обилия уязвимостей в ПО.


        1. jacob1237
          29.03.2017 12:55

          В первую очередь это отличные зомби-машины. Для DDoS атак, например.


          1. Garbus
            29.03.2017 14:21

            Именно подобные — вряд ли. Скачки трафика мониторятся в локальной сети весьма неплохо, а представить эту штуку торчащей веб интерфейсом напрямую в интернет сложно. Разве что в совсем уж малых организациях при криворукости админов.
            Для атак больше подходит что-то «домашнее», о своеволии которого простые пользователи в принципе не догадаются.


    1. ultraElephant
      30.03.2017 09:02
      +1

      Тот самый линукс для домохозяек.


  1. space2pacman
    28.03.2017 22:31
    +1

    Зачем вообще им ОС? не кажется ли это избыточным?


    1. Welran
      29.03.2017 07:57
      +8

      Удешевление из за стандартизации. Разрабатывать спец контроллер выйдет намного дороже.


  1. avia07
    28.03.2017 23:07

    Чтобы через встроенный микрофон прослушивать, а через встроенную камеру записывать видео. Big brother.


  1. c_kotik
    28.03.2017 23:11
    +5

    -Дорогой, ты помыл посуду?
    -Нет, на нашей посудомоечной машине ядро компилируется.
    -А мусор вынес?

    Вот оно — светлое будущее и повсеместная автоматизация) /sarcasm


  1. BubaVV
    29.03.2017 01:17

    Туда можно поставить NetBSD?


  1. terek_ambrosovich
    29.03.2017 07:44

    «Стиральная трагедия» Лема всё ближе и ближе.


    1. AntonSor
      29.03.2017 22:12

      — Его стиральная машина систематически рвала ему рубашки, своим посвистываньем создавала радиопомехи во всей округе, делала непристойные предложения старцам и малолетним, звонила по телефону различным лицам и, подражая голосу своего электродателя, просила в долг деньги, приглашала якобы для осмотра коллекции марок стиральные машины и полотерки соседей и растлевала их, а на досуге бродяжничала и побиралась.
      ---(с)


  1. 3aicheg
    29.03.2017 08:13
    +4

    Ждём, когда начнут взламывать электронные унитазы. Зайдёшь облегчиться, а он отказывается поднять крышку и говорит, что сперва перечислите биткойны.
    image


    1. synka
      29.03.2017 09:39

      Или кипятком ошпарит.


    1. ptica_filin
      29.03.2017 11:08

      А потом перечисляешь и ждёшь минут 10, пока транзакция подтвердится...


    1. c_kotik
      29.03.2017 11:33
      +6

      Тот неловкий момент, когда твой сервер DDOS-ят боты — унитазы. А фраза "опять канал говном всяким забит" обретает новые ароматы краски)


      1. 3aicheg
        30.03.2017 08:25

        Или сидишь на унитазе, а вдруг свинья как завизжит!


      1. Lsh
        30.03.2017 13:24

        Да и фраза «Набежали боты на форум, вбрасывают всякое говно» тоже становится прикольнее, если боты это унитазы.


  1. loly_girl
    29.03.2017 09:03
    +2

    Не соглашусь относительно незначительной опасности этой уязвимости. Если отключить дробную тиндализацию (или вообще стерилизацию) то для антибиотикоустойчивых бактерий будет очень хорошо. Они и так в больницах кишат и прыгают. После массовой атаки жертв будет довольно много. Даже если удаётся заразившихся это гадостью пролечить, то финансовые потери очень большие: антибиотики из «последних рубежей» в тысячи раз дороже обычных.


    1. AntonSor
      29.03.2017 18:35

      Будут по старинке кипятить


      1. loly_girl
        30.03.2017 01:18
        +1

        В том-то и дело, что дробное нагревание можно настроить так, что споры будут сохраняться, а на выходе обработанные предметы будут такими же горячими, как и при действующей стерилизации.


      1. mayorovp
        30.03.2017 08:58

        Это если вовремя обнаружат.


  1. AFakeman
    29.03.2017 09:32

    А это вообще нормально веб-сервер от рута запускать?


    1. DMGarikk
      29.03.2017 10:14

      Разработчики вебинтерфейсов такой техники вообще с трудом понимают что это такое.

      Помню было дело, разбирался с вебинтерфейсом дизельгенератора, некорректно сохранялись сетевые настройки… вендор предлагал поменять (перепаять) неисправный чип контроллера...(не, ну а в чём ещё может быть ошибка если один из 10 параметров (маска сети) не сохраняется после перезагрузки?)


  1. dmitry_ch
    29.03.2017 10:04

    Думаю, тема дырок в защите встроенных (в т.ч. и веб-) серверов в разной технике для Ализара составит нескончаемый источник дохода статей — сейчас только что еще в пылесосе не встретишь веб-сервера… Хотя, не знаю, что там Самсунг с LG уже продают, они мастера на пустом месте бессмысленную функциональность встраивать, забыв сделать прочный корпус и надежные подшипники.


    1. berezuev
      29.03.2017 11:32

      > сейчас только что еще в пылесосе не встретишь веб-сервера
      Ну, в роботах-пылесосах очень даже встретишь ))


      1. dmitry_ch
        29.03.2017 11:44
        +1

        Но вот что те, кто делает, собственно, технику, вообще не понимают в сетевых делах, это точно проблема. Видел промышленное оборудование, которое в упор не хотело видеть собственный контрольный софт на соседнем (по сети) компьютере. Разбирательство показало, что мастер-наладчик оборудования, не поняв в настройке сети, для начала отключил IPv4 и IPv6 (залез во встроенную винду (!!!), и там «натыкал»), включил IPX, и еще, до кучи, снес под конец дайвер сетевухи. Винда, конечно, пыталась работать с «универсальным» драйвером сетевого адаптера, а контрольный софт пробовал ходить в сеть по IPX — и то, и другое без особого успеха, конечно.

        Показательно, что мастеру-наладчику никто даже не сказал «идти учить матчасть». Он умеет настраивать оборудование, а что в сетях как ребенок, это его начальству (тоже, понятно, спецам по оборудованию, а не по сетям) проблемой не кажется. Как такие люди могут делать защищенную сетевую подсистему в своем оборудовании — загадка.

        Причем, по сути, проблема безопасности становится проблемой производителя только при очень крупном скандале, ставшем известном другим заказчикам, или регулирующим органам. До того это проблема несчастного клиента, который себе поставил за кучу бабок промышленное железо, которое дыряво как решето.


      1. iMisanthrope
        29.03.2017 12:22

        Веб-сервер есть у лампочек Philips, у динамиков Philips Fidelio, робот-пылесос от Xiaomi слушает ssh-порт, даже настольная лампа стучится в сеть…
        В итоге я весь этот зоопарк посадил в изолированную Wi-Fi сеть, без доступа во внешний мир)


  1. Jony_B
    29.03.2017 11:40

    Заголовки гиктаймса через год — Как меня хакнули через шнурки и умные трусы.


    1. AntonSor
      29.03.2017 22:11

      Вот дождетесь, поставят линукс и на нижнее белье :)


    1. Lsh
      30.03.2017 13:25

      Чем умные трусы должны отличаться от обычных?


      1. DMGarikk
        30.03.2017 14:39

        анализы делать, шаги мерить (что вообще исключает вообще все гаджеты и браслеты)


    1. Tufed
      30.03.2017 18:20

      А вибро-трусы с доступом через интернет уже проскакивали на кикстартере.


  1. dvserg
    29.03.2017 12:27
    -1

    Теперь любая посудомойка сможет управлять ботнетом.


    1. DnD_designer
      30.03.2017 17:13

      Народ не узнал фразу и не понял сарказм :)


      1. mayorovp
        30.03.2017 17:21

        "Народ" узнал фразу, но счел ее неуместной.


        1. dvserg
          30.03.2017 22:03
          -1

          Странное у народа понятие «уместности». Разговоры об «умных» трусах и «зараженных» унитазах уместны, а мысль о реальной опасности построения ботнета на «умных вещах» неуместна (.


  1. Joric
    29.03.2017 12:40

    Почему нет третьего варианта опроса?


  1. Sly_tom_cat
    29.03.2017 16:23

    Блин, ну почему написано про зашифрованный пароль, если даже википедия знает что в /etc/shadow хранятся ХЕШИ от паролей.

    И флаг вам в руки подбирать соленый хеш (сейчас это все чаще sha-512).

    Но соглашусь — пускать под рутом веб-сервер — это глупейшая ошибка разработчиков прошивки. Уже простая замена пользователя закрыла бы доступ к /etc/shadow


    1. mayorovp
      29.03.2017 16:58

      Соль защищает от радужных таблиц, а не от перебора.


      1. Sly_tom_cat
        29.03.2017 17:14

        А где я сказал что соль защищает от перебора?

        Хотите подобрать — флаг вам в руки :)


      1. ilammy
        30.03.2017 07:47

        В контексте темы я уж было подумал про обычную соль.


        1. loly_girl
          30.03.2017 08:38

          Не обычную, а для посудомоечных машин.


  1. ReSpown
    29.03.2017 20:15
    -1

    Фраза «В веб-сервере посудомоечной машины» сломала мой мозг. БУГАГА. да и ещё в статье подробно написан эксплойт, то мой мозг сломан вдвойне )))
    Ализар, он такой, умеет, может.


  1. Lsh
    30.03.2017 13:28

    Кстати, сейчас модная тема — мультиварки с удалённым управлением.
    Типа по дороге домой подключился и разогрел себе кашу.
    Интересно, как у них с безопасностью, находились ли какие дыры. Чтобы хакер Вася мог подключиться и спалить кашу к едрене-фене.