ทีม IBM X-Force Red ทดสอบอุปกรณ์จากผู้ผลิตโซลูชั่นสมาร์ตซิตี้, IoT และ IIoT ในอุตสาหกรรม พบว่าผู้ผลิต 3 สามที่ทีมงานทดสอบ ล้วนมีช่องโหว่ร้ายแรงทั้งสิ้น

รายการช่องโหว่ ได้แก่

• Meshlium จาก Libelium พบช่องโหว่ระดับวิกฤติ 4 จุด สามารถยิงโค้ด shell เข้าไปยังอุปกรณ์ได้โดยไม่ต้องล็อกอิน
• i.LON จาก Echelon สามารถข้ามการล็อกอินระบบ, มีรหัสผ่านค่าเริ่มต้นจากโรงงาน, การสื่อสารไม่เข้ารหัส, และเก็บรหัสผ่านแบบ plaintext
• V2I จาก Battelle มีรหัสผ่านผู้ดูแลระบบฮาร์โค้ดไว้ในระบบ, ช่องโหว่ SQL Injection, API key เริ่มต้นจากโรงงาน

ความน่ากังวลของโซลูชั่นสมาร์ตซิตี้เหล่านี้คือมันมักถูกติดตั้งทีละเป็นวงกว้าง ทาง X-Force ระบุว่าการติดตั้งควรคำนึงถึงความปลอดภัยแต่แรก เช่น การจำกัดการเข้าถึง, มีการสแกนความปลอดภัยเพื่อหาช่องโหว่ง่ายๆ ก่อน, การออกแบบควรคำนึงถึงความปลอดภัย, มีระบบการจัดการล็อกเพื่อหาพฤติกรรมผิดปกติ

ผู้ผลิตทั้งสามรายออกแพตช์เรียบร้อยแล้ว อย่างไรก็ดีการที่อุปกรณ์เหล่านี้ไม่ได้มีการใช้งานตามบ้านทั่วไป ก็ทำให้น่าสงสัยว่าโซลูชั่นอื่นๆ จะถูกทดสอบความปลอดภัยก่อนการติดตั้งขนานใหญ่มากน้อยแค่ไหน

ที่มา - ThreatPost, Security Intelligence