近日,以色列安全研究公司SecurityJoes发现,安装在全球100多个地方的MottechWaterManagement智能灌溉系统并没有更改出厂默认密码。这些联网设备容易受到恶意黑客的攻击。攻击。研究人员立即通知了以色列的CERT、受影响的公司和智能灌溉系统供应商MottechWaterManagement。Mottech的系统可以通过台式机和手机对农业和草坪/园林绿化设施进行实时控制和灌溉监测。传感器网络允许将水和肥料灵活、实时地分配到系统中的不同阀门。获得网络访问权限的攻击者可能导致灌溉系统淹没农田或过度施肥,造成严重破坏。SecurityJoes的联合创始人IdoNaor表示,该公司会定期扫描互联网,寻找以色列开放设备的漏洞。最近,其研究人员发现以色列有55个灌溉系统在没有密码保护的情况下在开放的互联网上可见。扩大搜索范围后,他们在法国、韩国、瑞士和美国等其他50个国家/地区发现了未受保护的设备。“我们谈论的是成熟的灌溉系统,它们可能是整个城市,”Naor说。“我们不看灌溉系统的具体地址,因为我们不想造成任何麻烦。”Naor透露,在上次检查中,到目前为止,只有大约20%的已确定易受攻击的灌溉设备有缓解措施来保护它们。.以色列的供水系统遭到袭击灌溉和供水系统的安全性并非没有根据,尤其是在以色列。据《以色列时报》报道,伊朗于去年4月对以色列供水系统发起网络攻击,企图增加水中的氯含量毒害平民,最终切断供水。据《以色列时报》报道,该国国家网络管理局局长YigalUnna在5月下旬的Cyber??techLiveAsia会议上警告说,对人的直接网络攻击开启了网络战的新篇章。报道称,他在会议上说:“网络冬天来得比我想象的要快。”“我们才刚刚开始。”几周后的7月,以色列水务部门表示能够阻止对以色列农业的破坏。在「该国中部地区」袭击水泵和水利基础设施。Naor表示,发现没有密码保护的灌溉系统与之前的攻击无关。针对以色列境外公用事业供水系统的漏洞当然不仅限于以色列。上个月,研究人员在CodeMeter中发现了六个严重漏洞,CodeMeter是一种用于为美国工业系统供电的设备,包括水电设施,可以利用这些漏洞发起攻击,甚至允许第三方接管系统。整个夏天,研究人员发现,用于在工业环境中远程访问操作技术(OT)网络的VPN使现场设备容易受到攻击,可能导致停机甚至物理损坏。政府正在努力跟上关键基础设施系统中物联网(IoT)设备的增长。在美国,众议院于9月通过了立法,规定了联邦政府对物联网设备的最低要求。Naor指出,为物联网设备建立最低安全标准是确保关键基础设施安全的重要一步。他补充说,运营商需要认真对待安全问题,双因素身份验证应该是从移动设备访问这些物联网系统的最低要求。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
