详细内容或原文请订阅后点击阅览
Black Hat Europe 2025:该设备的设计初衷是为了在互联网上运行吗?
许多现代建筑光鲜亮丽的外观背后隐藏着过时的系统,其中的漏洞等待被发现
来源:WeLiveSecurity _恶意软件Black Hat Europe 2025:该设备的设计初衷是为了在互联网上运行吗?
许多现代建筑光鲜亮丽的外观背后隐藏着过时的系统,其中的漏洞等待被发现
2025 年 12 月 12 日•,3 分钟。阅读
“千座零日之城”是 Black Hat Europe 2025 演讲的部分标题。我相信您会明白为什么这几句话激发了我的兴趣,足以投入时间进行演讲;特别是考虑到 2019 年我在阿根廷 Segurinfo 发表了关于智能建筑不断变化的风险的演讲。
Black Hat 上的演讲由 Zero Science Lab 的 Gjoko Krstic 发表,重点关注了一家建筑管理系统供应商,以及他们的一款产品通过各种收购的演变如何导致其最终成为一款极其脆弱的软件。总之,演讲强调,全球有 1,000 多座建筑使用该供应商的建筑管理系统 (BMS),该系统在存在大量漏洞的软件平台上运行。使问题更加复杂的是,该软件托管在面向公众的 IP 地址上;因此,可以通过互联网访问它。
在一个示例中,Gjoko 解释了一个漏洞的根本原因可以追溯到 18 年前的固件代码库。由于几家公司的收购以及在并购过程中缺乏对软件安全方面的审计和尽职调查,直到最近漏洞似乎一直被忽视。
协调披露已促使进行了大量修复,但这一过程导致解决了一个问题,同时保持了根本原因完好无损,从而在以后暴露了更多漏洞。这里的信息很明确:不要只使用膏药而忽视根本原因。公司在收到漏洞通知后必须进行完整的代码审核并发布补丁,以确保找到并解决根本原因。