Уязвимость в контроллерах SWARCO позволяет нарушить работу светофоров

Специалисты из компании ProtectEM обнаружили критическую уязвимость ( CVE-2020-12493 ) в контроллерах светофора CPU LS4000 от поставщика SWARCO TRAFFIC SYSTEMS. Эксплуатация уязвимости позволяет злоумышленникам нарушать работу светофоров.

SWARCO — австрийская компания, специализирующаяся на управлении трафиком, безопасности дорожного движения, разметке дорог и других решениях, которые обычно используются в городах. Ее продукция используется в более чем 70 странах мира.

Уязвимый контроллер SWARCO работает под управлением операционной системы реального времени BlackBerry QNX и предназначен для управления светофорами на одном перекрестке. Система содержала открытый порт отладки, который позволял неавторизованному злоумышленнику получить неограниченный доступ с правами суперпользователя к любому контроллеру светофора.

В рамках эксперимента специалисты продемонстрировали, как злоумышленник может заставить контроллер выключить все светофоры, переключить их все на красный свет или заставить их мигать желтым светом.

Уязвимость получила максимальную оценку в 10 баллов по шкале CVSS. Исследователи сообщили о своих находках поставщику в июле 2019 года, и SWARCO исправила уязвимость в апреле 2020 года.