Уязвимость может нанести вред национальной безопасности.
Исследователь безопасности обнаружил уязвимость в контроллере светофора, которая может позволить злоумышленникам изменять сигналы и создавать пробки на дорогах. Эндрю Лемон из компании Red Threat
сообщил , что нашел ошибку в устройстве Intelight X-1, которое позволяет любому человеку получить полный контроль над светофорами. Причиной этого является отсутствие аутентификации на веб-интерфейсе устройства, доступном в интернете.
Лемон пытался воспроизвести сценарий, где все светофоры на перекрестке переключаются на зеленый, как это показано в фильмах. Однако, устройство под названием Malfunction Management Unit предотвращает такие ситуации. Тем не менее, злоумышленники могут изменить временные параметры работы светофоров, что приведет к физическим проблемам, таким как пробки.
Лемон и его команда нашли около 30 уязвимых устройств Intelight, доступных через интернет. Он сообщил о проблеме компании Q-Free, которая владеет Intelight. Однако вместо сотрудничества, Q-Free направила ему юридическое письмо, утверждая, что устройство, проанализированное Лемоном, больше не продается, и его исследования могли нарушить закон о компьютерном мошенничестве.
Компания также выразила озабоченность, что публикация уязвимости может нанести вред национальной безопасности и привести к атакам на инфраструктуру. Лемон считает, что компания пытается заставить его молчать, используя юридические угрозы.
Представитель Q-Free Триша Тунилья отметила, что контроллер не производится уже почти десять лет и рекомендовала пользователям заменить старые устройства на новые модели. Лемон также обнаружил, что некоторые устройства от компании Econolite, подключенные к интернету, используют потенциально уязвимый протокол NTCIP. Представитель Econolite подтвердил, что эти устройства уже устарели и все пользователи должны заменить их на новые модели.
Эксперты советуют следовать лучшим практикам по сетевой безопасности и ограничивать доступ к критически важному оборудованию через открытый интернет.